octubre 04, 2016

Un martes cualquiera: e-mail spoofing

En la primera entrega dedicada a los e-mails spoofing titulada "Un Lunes cualquiera" (cada entrega tendrá un día de la semana), nos referimos a dos grandes entidades financieras y de créditos de Colombia Davivienda y Serlefin víctimas de esta práctica.
Hoy le tocó el turno a CISA, la central de inversiones del estado colombiano; un mounstruo burocrático... Como alguien dijo alguna vez: "el tamaño de la empresa es directamente proporcional al tamaño de la cagada en seguridad informática"; algo típico en las entidades estatales de latino-américa
Como en la publicación anterior, envían un mail a los clientes de esta empresa (no se sábe cómo consiguen la base de datos de los clientes), pero a diferencia del caso anterior, esta vez se arriesgan y envían un anexo, el cual contiene un contenedor llamado Notificación de Medidas Cautelares.tbz y dentro un ejecutable con el virus del mismo nombre, burlando los controles de seguridad de gmail.
Correo spoofing de CISA
(El nombre de la empresa víctima ha sido suprimido por seguridad)
Una vez se abre el archivo automáticamente genera un proceso explorer.exe falso y varios svchost.exe, tal y como se muestra en la imagen.
El cual genera unas carpetas fake en Home (~TEREDF) y el path %APPDATA% llamadas sistem32 (con un archivo sistema llamado "dmw"), System32 (con el ejecutable "dwll.exe" que también ejecuta un proceso bastante persistente) y una aplicación llamada "iSeptember21.exe"
Y su registro de conexiones...
Y el reporte de hybrid-analysis.com, donde muestra datos del certificado, a nombre de una tal Debora Fernandez (deboragf93@gmail.com para que le envíen "saludos")...
Consultamos VirusTotal, y parece que es un malware joven (oremos por su descanso eterno)
Para eliminarlo simplemente cierre manualmente estos procesos fake y elimine las carpetas, o también puede eliminarlo con nuestro herramienta Dextroyer o con cualquiera de los antivirus que VirusTotal relaciona en su lista negra.

Vea Un Miercoles Cualquiera
Maravento, Actualizado en: 19:05
Escrito por: Maravento Studio
 
© 2017 Maravento. All Rights Reserved | Powered by Maravento
Design by Novatoz and Maravento | Bloggerized By LawnyDesignz
# https://github.com/google/code-prettify