-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}
Hojas de cálculo Excel implementadas en campañas de malware
- Publicado: 03/02/2021
- Importancia: Media
- Recursos afectados
Durante la habilitación de macros en un equipo con sistema operativo Windows vulnerable se generó el tráfico HTTPS, encargado de descargar y ejecutar el malware SystemBC. Este archivo .EXE implementado se aloja en una nueva ruta de directorio, desde la cual genera persistencia en el equipo a través de una tarea programada. En seguida, SystemBC genera conexión hacia una dirección IP mediante tráfico HTTP para obtener el payload y posteriormente realizar la ejecución de Cobalt Strike, herramienta a través de la cual logra recopilar información de carácter confidencial y realizar movimiento lateral para comprometer los equipos en la red.
SystemBC es un software malicioso desarrollado en C++ con funcionalidades para la configuración de proxy SOCKS5, que permiten ocultar tráfico generado por código malicioso. Debido a esto, usualmente es propagado en compañía de otro tipo de malware desarrollado para la exfiltración de datos personales, contraseñas, entre otros. Por su parte, Cobalt Strike es una herramienta diseñada para pruebas de Pentesting, que permite a los ciberdelincuentes ejecutar funciones para la transferencia de archivos, escalamiento de privilegios, escaneo de puertos, movimiento lateral, entre otros.
Este es un breve resumen realizado por el equipo del Csirt Financiero, para conocer el análisis, correlación, estrategias de mitigación y seguimiento a la alerta, afíliese al Csirt Financiero Asobancaria y contáctenos [email protected].
- Etiquetas