-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}
Malware Coblnt
- Publicado: 03/07/2019
- Importancia: Baja
- Recursos afectados
Coblnt es un troyano que ha sido utilizado en diferentes campañas de phishing desde enero de 2018 hasta junio de 2019, todas ellas asociadas al grupo de amenazas Cobalt.
En esta campaña en concreto, se utilizó un documento RTF malicioso con macros, generado por un kit VBA, conocido como Leila Kit. Se observó un documento similar en una campaña el día 27 de junio de 2019, lo que sugiere que este Leila se está utilizando para generar los documentos maliciosos. Actualmente no se tiene conocimiento de si estos archivos XLS/DOC/RTF maliciosos son generados por un solo kit como Leila o por múltiples herramientas que tienen plantillas similares. Los documentos maliciosos de Office (XLS/DOC/RTF) creados por Leila Kit han sido utilizados por una amplia gama de actores para implementar numerosas cargas útiles (por ejemplo, Loki Bot Malware, NetWire RAT, Remcos RAT Malware), lo que sugiere que el kit está ampliamente disponible para los ciberdelincuentes.
Esta campaña ha sido atribuida al grupo Cobalt debido al uso de un dominio malicioso(autolabforum[.]Info), el cual resolvió una IP (185.82.200[.]124) conocida por almacenar otro dominio utilizado en campañas anteriores por el grupo(lassobank[.]com).- Etiquetas