Campaña maliciosa para distribuir NjRAT a través de phishing impacta a entidades en Colombia

• Publicado: 21/05/2022
• Importancia: Media

---

Recursos afectados

El vector de infección identificado es a través de correos phishing que simulan ser comunicaciones oficiales del Sistema Penal Oral Acusatorio (SPOA) de Colombia, en los cuales se incluye un archivo adjunto protegido con una contraseña.

 

Los archivos contenidos en los correos electrónicos son identificados como .bz2 que alojan scripts maliciosos desarrollados en Visual Basic que al ser ejecutado descarga un código malicioso en PowerShell desde Discord y que a su vez droppea artefactos que terminan en NjRAT dentro del equipo; en su última fase, emplea una DLL que modifica el método propio del sistema AmsiScanBuffer que está en la librería amsi.dll, el cual realiza las tareas de analizar y detectar artefactos maliciosos que puedan ser generados en memoria.

 

Este es un breve resumen realizado por el equipo del Csirt Financiero, para conocer el análisis, correlación, estrategias de mitigación y seguimiento a la alerta, afíliese al Csirt Financiero Asobancaria y contáctenos [email protected].

Etiquetas

• colombia
• Njrat
• malware
• troyano
• powershell
• Visual Basic Script