Ataques Malware enfocado a Colombianos
En los últimos meses hemos observado una tendencia creciente en ataques dirigidos por correo (Spear Phising), utilizando como señuelo notificaciones de entidades del gobierno colombiano como lo son la Fiscalía (notificaciones judiciales), DIAN (notificaciones de impuestos) y el ICBF (notificaciones asuntos familiares).
El último correo que analizamos hace apenas unas horas tiene como asunto "Notificación Fiscal Influyente" y en el cuerpo del mensaje se indica que existe un proceso "en su contra", con una notificación, un horario de atención y aparentemente firmado por Manuel jesus Urrutia vergara, Fiscal 11 de Bogota - Colombia Telf: 57 (1) 586 3538 - Ext: 1300 - 1311.
Obviamente ese señor no existe y al momento de escribir este artículo no había ninguna referencia en google; además, ¿quién escribe su nombre sin usar mayúsculas iniciales?
Este correo se destaca por:
1. Utiliza un mensaje que genera temor e invita a abrir un archivo adjunto.
2. El archivo adjunto es HTML, por eso no es detectado como malicioso por antivirus de correo o por reglas de extensiones de adjuntos en servidores de correo.
3. El archivo HTML tiene un código de redirección para abrir otro sitio, (parece un wordpress hackeado) que tiene el archivo comprimido:
Procesonumero197162316fiscaliageneraldelanacionradicacionbogota1.rar
4. El archivo .Rar tiene un ejecutable de nombre Procesonumero197162316fiscaliageneraldelanacionradicacionbogota1.exe
5. El hash SHA256 del archivo es cff510b09f8bb65d9879b7b9d0be0d60528f44d98a8c8b830f258bef42b1b0c7
Entonces Julián (Nuestro especialista) envió el archivo a uno de los sandbox que tenemos y en el reporte se identifican cosas comunes en malware pero sobresale:
1. Se realiza una conexión al dns dinámico proyectofinal.hopto.org en el puerto 3463. Al momento del análisis, la IP de este dns corresponde a 128.90.115.120 la cual está geográficamente ubicada en Colombia.
2. El malware verifica que los certificados digitales sean válidos.
3. El malware instala nuevos certificados digitales raiz.
Sin realizar análisis profundos sobre el malware, se puede inferir que el objetivo del mismo consiste en capturar (espiar) información que se envía a través de canales cifrados. El análisis sigue en camino para saber exactamente que hace ese 'bicho'.
RECOMENDACIONES
1. Cuéntele a sus amigos, conocidos y familiares que están circulando correos falsos de entidades del gobierno colombiano, con software malicioso.
2. No abrir o hacer doble clic sobre archivos ejecutables como .exe, .com, .bat, .cmd, .vbs.
3. No confiar totalmente en los antivirus, ya que existen técnicas para saltar su protección.
Para el ver artículo original: www.linkedin.com/pulse/ataques-malware-enfocado-colombianos-marcos-gutierrez?trk=prof-post
Últimos Artículos
