Header Ads

Un martes cualquiera: e-mail spoofing

En la primera entrega dedicada a los e-mails spoofing titulada "Un Lunes cualquiera" (cada entrega tendrá un día de la semana), nos referimos a dos grandes entidades financieras y de créditos de Colombia Davivienda y Serlefin víctimas de esta práctica.
Hoy le tocó el turno a CISA, la central de inversiones del estado colombiano; un mounstruo burocrático... Como alguien dijo alguna vez: "el tamaño de la empresa es directamente proporcional al tamaño de la cagada en seguridad informática"; algo típico en las entidades estatales.
Hackean un correo legítimo y envían a su lista de contactos un e-mail con un anexo, el cual contiene un contenedor llamado Notificación de Medidas Cautelares.tbz y dentro un ejecutable con el virus del mismo nombre, burlando los controles de seguridad de gmail y otras plataformas de correo.
El siguiente ejemplo es un e-mail del Juzgado de Puerto Carreño, Vichada, Colombia, a quién le llegó este malware y lo reenvió a la entidad estatal víctima en ese departamento.
Correo spoofing de CISA
(El nombre de la empresa estatal víctima ha sido suprimido por seguridad)
Una vez se abre el archivo automáticamente genera un proceso explorer.exe falso y varios svchost.exe, tal y como se muestra en la imagen.
El cual genera unas carpetas fake en Home (~TEREDF) y el path %APPDATA% llamadas sistem32 (con un archivo sistema llamado "dmw"), System32 (con el ejecutable "dwll.exe" que también ejecuta un proceso bastante persistente) y una aplicación llamada "iSeptember21.exe"
Y su registro de conexiones...
Y el reporte de hybrid-analysis.com, donde muestra datos del certificado, a nombre de una tal Debora Fernandez (deboragf93@gmail.com para que le envíen "saludos")...
Consultamos VirusTotal, y parece que es un malware joven (oremos por su descanso eterno)
Para eliminarlo simplemente cierre manualmente estos procesos fake y elimine las carpetas. También puede hacer uso de la herramienta Dextroyer.
Se recomienda antes de abrir un correo verificar que sea legítimo, así como su archivo adjunto y no reenviar correos sin antes verificar la autenticidad del remitente.

Vea Un Miercoles Cualquiera
Con la tecnología de Blogger.