Techie Blog El blog de noticias, tecnologías y tendencias de E.D.S.I. Trend Argentina

12nov/13Off

Phishing y más phishing

Otra vez, estamos detectando en varios de nuestros clientes una amenaza potencial que envía un e-mail diciendo que es el administrador y que hay unas nuevas configuraciones de outlook que hay que descargar, junto a un archivo adjunto con contraseña.

Lo curioso es que el mail es una suerte de "spear phishing" ya que no ataca a todas las casillas de la empresa, sino que a determinados usuarios, también, es bastante curioso el hecho de que logra envíar el mail con el dominio interno de la empresa, utilizando una técnica poco habitual (En realidad, lo que hace es decir que es Administrator@dominio.com>"@dominio.com, con lo cual, engaña a los filtros de spam. También, por lo que pudimos ver, utiliza servidores de outlook/hotmail y debido a esto, no es frenado por los filtros de IP.

El mail en cuestión que envía es el siguiente:

Asunto: Important - New Outlook Settings

Please carefully read the attached instructions before updating settings.

This file either contains encrypted master password, used to encrypt other files. Key archival has been implemented, in order to decrypt the file please use the following password: PaSdIaoQ

This e-mail and / or any attachment(s) is intended solely for the above-mentioned recipient(s) and it may contain confidential or privileged information. If you have received it in error, please notify us immediately at helpdesk@DOMINIO.com and delete the e-mail. You must not copy it, distribute it, disclose it or take any action in reliance on it.

 

Nos dispusimos a investigar un poco más del tema, descargamos el archivo sospechoso y lo analizamos con el Deep Discovery Advisor, un producto capaz de analizar muestras de malware mediante el uso de sandboxes con windows en tiempo real y conectarse al resto de los productos de protección de gateway de Trend Micro.

Les dejo el link de descarga del informe obtenido: https://www.safesync.com.ar/Mvf/Reporte%20DDA/OutlookMalware.pdf?a=Jgj2xc6DRiY

En el informe, podemos ver que archivos descarga y ejecuta este malware.

Uno de ellos es el budha.exe y el otro es kilf.exe, budha.exe a su vez, se replica a el mismo y al otro archivo.

También, por las ramas de registro, podemos identificar que dos archivos más son ingresados en la computadora: zouh.exe y aqwe.exe

Por otro lado, inyecta contenido en el explorer.exe, crea y ejecuta varios bats, se conecta a muchas direcciones ip distintas a distintos puertos, y escribe algunas consultas fantasmas a google para ofuscar el hecho de que descarga un archivo de otra página desconocida.

Por lo que pude analizar de las ips y los puertos, parecieran ser servidores de command and control y envío de datos, la mayoria de ellos estan fuera de estados, salvo algunos. Lo más probable es que sean servidores de botnets y/o simplemente reciban datos de la computadora infectada.

Por favor, si reciben un mail como el descripto anteriormente, avisenle a su administrador de sistemas más cercano (El verdadero, no el del mail!) y por sobre todas las cosas, no lo abran!

 

Saludos!


¿Te gustó este artículo?

¡Suscríbete a nuestro feed RSS!

Publicado por Agustín Nicolás Bottos

Comentarios (0) Trackbacks (0)

Lo sentimos, los comentarios están cerrados por ahora.

Trackbacks deshabilitados.

Arriba ↑