Alertas de seguridad

Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.

Campaña de Spam distribuyendo malware

  • Publicado: 25/06/2019
  • Importancia: Media

Recursos afectados

Desde del CSIRT Financiero se detecta una campaña de Spam la cual distribuye el troyano Kryptik tipo RAT (Troyano con capacidades de instalar herramientas de acceso remoto en el sistema infectado, realizando estas actividades sin ser detectado, logrando ejecutar malware adicional o componentes maliciosos) a través de un documento de Microsoft Word.

Se realiza un análisis al hash del documento comprometido:

f3ad69c43ed2d3adc3d90b7298fd1bb0efebb5ba267d31dcc06d4d7ab9ffa85f

Se detecta que 24/57 AV lo catalogan como un troyano malicioso.

Se identifica una dirección IP dinámica 181.49.92.115 ubicada en Colombia, la cual cuenta con mala reputación (Spam), sin embargo a la hora de realizar el análisis se encuentra que está limpia y activa; se realiza un análisis más profundo para determinar la relación entre el documento y la dirección IP y se encuentra que el documento hace comunicación con la dirección IP mediante un tercero, el cual es un proceso llamado e.exe; este proceso llama (descarga) al Troyano de nombre e.jpg.exe que se encuentra alojado en la URL http://medicosempresa[.]com/image/e.jpg y ubicada geográficamente en Estados Unidos que resuelve la dirección IP 162.213.255.108, la cual según investigación del CSIRT Financiero se trata de un C2 (comando y control).

Etiquetas