Alertas de seguridad

Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.

Nueva campaña de malspam en plataforma swift

  • Publicado: 18/06/2019
  • Importancia: Alta

Recursos afectados

Desde el CSIRT Financiero se realiza análisis a la alerta publicada por FS-ISAC, en donde indican que actualmente está en proceso de desarrollo una campaña de malspam sobre la plataforma Switf (permite la transferencia de información interbancaria de manera segura).

Se realizo el seguimiento a los IoC (indicadores de compromiso) adjuntos en la alerta. Se evidencia que el principal emisor de la campaña de correo malspam es noman.alvi[@]uns[.]com[.]pk, el cual se utilizó para realizar el envío masivo de un mensaje entre el cual contenía un archivo adjunto Microsoft Excel nombrado Eur 72,000.xls. con carga útil 1612450062-widgets[1].js que posteriormente a la ejecución del documento desencadena una lista macros de tipo PowerShell, los cuales se conectan a un servidor C&C (comando y control) y de manera oculta descargan el troyano trojan.ms office.stratos.gen, que cuenta con características que podrían permitir que un atacante introdujera nuevas variantes de malware (WSH RAT o Houdini Trojan) en el dispositivo infectado.

En el análisis realizado a la dirección IP 104.20.209[.]21 se observa que es una IP dinámica ubicada en Estados Unidos la cual se encuentra asociada a URL’s, dominios, downloaders y otros componentes catalogados como maliciosos.

Screenshot_1.png

Etiquetas