noviembre 09, 2016

Un miercoles cualquiera: e-mail spoofing

En esta nueva entrega de la serie e-mail spoofing le tocó el turno a la Alcaldía de la bella ciudad de Páramo, Santander, Colombia. Son de esos lugares pequeños, gente cálida y trabajadora, que no le hace mal a nadie y muy hospitalarios con el foraneo, y que por esa misma razón, los cibercriminales se aprovecharon de sus fallas de seguridad y tomaron el control de un correo oficial de esta institución pública y comenzaron a enviar malware a su lista de contactos.
En otras palabras, este caso se aleja un poco del spoofing tradicional, para entrar en el campo del phishing con escalada de privilegios.
Correo a la lista de contactos (otras instituciones): Sencillo pero creíble (ya que es de contacto a contacto institucional, por tanto no hay sospechas y Google App nuevamente falla en la seguridad al no detectar el contenido del mail..
La carga útil: Un archivo llamado "Pago de nomina impuestos vencidos.uue", se descomprime con la clave brindada en el mail y queda el veneno del mismo nombre pero ejecutable. Que al iniciar genera los procesos nrygwfxblb.exe, WinHost32.exe -fortinet client-, MSBuild.exe que son creados por los archivos aaaaaaaa.exe y WinHost32.exe en %USERPROFILE% y %temp% respectivamente.
Su tasa de infección y propagación es bastante rápida a pesar de ser nuevo (Virus Total).
Y sus registros de conexiones...
Pero no se limita a este pequeño pueblo. Cientos de correos oficiales de muchas instituciones públicas colombianas ya han sido comprometidos, sin que a la fecha el MINTIC (entidad gubernamental que controla estos correos) haya hecho algo al respecto.
Por ejemplo, Tolima, con el malware "Validacion de pago pse portal.exe" (o Devolucion de dinero cheque gerencial.exe):
Dagua, Valle con el malware "aprobacion de transferencia 2500000.exe"...
Y muchas otras. Puede cerrar estos procesos y eliminar este dañino malware manualmente o utilizar Dextroyer.

Nota de publicación:
La información publicada, así como las evidencias del malware, fueron suministradas por un empleado de una de las instituciones afectadas.
Maravento, Actualizado en: 16:02
Escrito por: Maravento Studio
 
© 2017 Maravento. All Rights Reserved | Powered by Maravento
Design by Novatoz and Maravento | Bloggerized By LawnyDesignz
# https://github.com/google/code-prettify