E-mail Spoofing

Como todos los días (ya se ha vuelto algo "normal") los e-mails spoofing llegan de todos lados. Esta vez le toco el turno a las entidades financieras y de créditos Davivienda y Serlefin de Colombia, las cuales son víctimas de esta práctica.
Envían un mail a sus clientes con "todos los juguetes" (ver imagen encabezado). Y en el enlace está el veneno. Revisado su contenido en VirusTotal, parece que llevan algún tiempo haciendo maldades.
Y después de ejecutar el malware (00193serlefindetallado.exe con un ícono de PDF) en un entorno seguro, este activa otro ejecutable (Ecfa.exe AutoIt v3 Script) guarda el veneno en la ruta C:\Users\Usuario\a2YsJPcBEizgpvli y que registran las siguientes conexiones al servidor duckdns.org:
Así las cosas, si Usted vive en Colombia (puede suceder en cualquier lado) le llega un mail de alguna entidad financiera, tómense todo el tiempo necesario para revisarlo, de ser posible con lupa, no sea que su vida privada y ahorros de toda la vida "desaparezcan".
Pero aún hay una pregunta en el aire: ¿Cómo consiguieron las listas de correos de los clientes de estas entidades?.... Todo apunta a un "Inside Job"
El siguiente caso es CISA, la central de inversiones del estado colombiano; un monstruo burocrático... Como alguien dijo alguna vez: "el tamaño de la empresa es directamente proporcional al tamaño de la cagada en seguridad informática"; algo típico en las entidades estatales.
Hackean un correo legítimo y envían a su lista de contactos un e-mail con un anexo, el cual contiene un contenedor llamado Notificación de Medidas Cautelares.tbz y dentro un ejecutable con el virus del mismo nombre, burlando los controles de seguridad de gmail y otras plataformas de correo.
El siguiente ejemplo es un e-mail del Juzgado de Puerto Carreño, Vichada, Colombia, a quién le llegó este malware y lo reenvió a la entidad estatal víctima en ese departamento.
Correo spoofing de CISA
(El nombre de la empresa estatal víctima ha sido suprimido por seguridad)
Una vez se abre el archivo automáticamente genera un proceso explorer.exe falso y varios svchost.exe, tal y como se muestra en la imagen.
El cual genera unas carpetas fake en Home (~TEREDF) y el path %APPDATA% llamadas sistem32 (con un archivo sistema llamado "dmw"), System32 (con el ejecutable "dwll.exe" que también ejecuta un proceso bastante persistente) y una aplicación llamada "iSeptember21.exe"
Y su registro de conexiones...
Y el reporte de hybrid-analysis.com, donde muestra datos del certificado, a nombre de una tal Debora Fernandez (deboragf93@gmail.com para que le envíen "saludos")...
Consultamos VirusTotal, y parece que es un malware joven (oremos por su descanso eterno)
Se recomienda antes de abrir un correo verificar que sea legítimo, así como su archivo adjunto y no reenviar correos sin antes verificar la autenticidad del remitente.
El tercer caso corresponde a la Alcaldía de la bella ciudad de Páramo, Santander, Colombia. Son de esos lugares pequeños, gente cálida y trabajadora, que no le hace mal a nadie y muy hospitalarios con el foraneo, y que por esa misma razón, los cibercriminales se aprovecharon de sus fallas de seguridad y tomaron el control de un correo oficial de esta institución pública y comenzaron a enviar malware a su lista de contactos.
En otras palabras, este caso se aleja un poco del spoofing tradicional, para entrar en el campo del phishing con escalada de privilegios.
Correo a la lista de contactos (otras instituciones): Sencillo pero creíble (ya que es de contacto a contacto institucional, por tanto no hay sospechas y Google App nuevamente falla en la seguridad al no detectar el contenido del mail..
La carga útil: Un archivo llamado "Pago de nomina impuestos vencidos.uue", se descomprime con la clave brindada en el mail y queda el veneno del mismo nombre pero ejecutable. Que al iniciar genera los procesos nrygwfxblb.exe, WinHost32.exe -fortinet client-, MSBuild.exe que son creados por los archivos aaaaaaaa.exe y WinHost32.exe en %USERPROFILE% y %temp% respectivamente.
Su tasa de infección y propagación es bastante rápida a pesar de ser nuevo (Virus Total).
Y sus registros de conexiones...
Pero no se limita a este pequeño pueblo. Cientos de correos oficiales de muchas instituciones públicas colombianas ya han sido comprometidos, sin que a la fecha el MINTIC (entidad gubernamental que controla estos correos) haya hecho algo al respecto.
Por ejemplo, Tolima, con el malware "Validacion de pago pse portal.exe" (o Devolucion de dinero cheque gerencial.exe):
Dagua, Valle con el malware "aprobacion de transferencia 2500000.exe"...
Y muchas otras.
Todos los malwares descritos anteriormente pueden eliminarse manualmente cerrando los procesos y borrando los archivos involucrados o utilizando nuestro proyecto Dextroyer.

Nota de publicación:
La información publicada, así como las evidencias del malware, fueron puestas en conocimiento de MINTIC y Gobierno en Línea de Colombia, sin embargo su respuesta fue que estos casos son responsabilidad directa de la institución afectada.
Con la tecnología de Blogger.