2CMV22-00390-01 CSIRT alerta ante campaña de phishing con malware, que suplanta a Extral

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT de Gobierno) ha identificado una nueva campaña de phishing con malware suplantando a Extral. Por medio de un correo masivo, el atacante menciona una falsa factura, llamando a la potencial víctima a descargar un archivo del tipo rar.

Si la victima interactúa con este archivo se encontrará con un malware de los tipos infostealer y dropper, el cual sustrae información de la maquina infectada, credenciales de correos, lee los datos de los navegadores web, accede a los perfiles de los correos electrónicos de Outlook y realiza la enumeración de los procesos realizados por el equipo, entre otros.

Analizando las tácticas, técnicas y procedimientos asociadas a la muestra, descubrimos la presencia de 5 tácticas y 6 técnicas. Entre estas podemos encontrarnos con las tácticas de acceso inicial (mediante phishing), ejecución (el usuario ejecuta el fichero malicioso), acceso a credenciales (capturas de credenciales a través de Barbee), evasión defensiva (desofuscación ofuscación de archivos o información, modificación de llaves de registro) y colección (colección automatizada para recolectar información).

Advertencia sobre gestión de IoC

Los patrones expresados en forma de hash de un archivo pueden ser administrados con herramientas centralizadas y distribuidas, como firewall y antimalware. Las organizaciones deben tomar resguardo de incorporar un hash que pudiere estar vinculado a un archivo o DLL válida dentro de un sistema.

Al gestionar patrones potencialmente maliciosos con nombres de host o IP, se debe considerar que la relación entre nombre FQDN e IP puede cambiar en el tiempo, y que una dirección IP específica puede estar siendo usada por un proveedor de web hosting que puede tener más de un dominio asociado a dicha IP.

En consecuencia, se recomienda tener un orden de prioridades a la hora de ejecutar un bloqueo, considerando al menos:

  • El uso de un dispositivo WAF que pueda discriminar el nombre FQDN potencialmente malicioso por sobre la IP.
  • El uso de un firewall que permita integrar listas de bloqueo FQDN sin necesitar la conversión a IP.
  • El uso de sistemas proxy que permitan bloquear el FQDN sin necesitar la conversión a IP.
  • En última instancia, incorporar el bloqueo de la IP verificando que no corresponda a un esquema de web hosting, porque existe la posibilidad de bloquear los restantes dominios implementados que utilizan la misma dirección IP.

IoC Correo Electrónico

Antes de aplicar bloqueos, tenga presente lo indicado en el punto sobre advertencia de gestión de IoC.

Datos del encabezado del correo

Asunto Correo de Salida SMTP
Facturacion electronica chernandez@extral.com.mx [85.13.137.229]

Indicadores de Compromiso Asociados  

Archivos que se encuentran en la amenaza

Tipo Indicador Relación
SHA256 bc74667556dc9f935ea423d6027c494a1daf8db07225ad278afc0614cb1158d5 doc_Factura_830873.html
SHA256 3d5d6044734a18b4a78abaa64326d544e3e6aaa8a68f1e86a1fce05c1c90ade6 Factcura_950960.rar
SHA256 8139c3fe860410dee6c76c9bc1ababc163043f9d4784ed468fe8a25a7c0eae41 doc_Factura.cmd
SHA256 4dc59c4e6f73f6c9c17a40fe2fe0a74670b6a0b712b73a002ec497848894dd5d ~~
SHA256 005e51bcc1decf20239bb92a0411f669c2ad26c86839754ee34a43a2d020afa7 doc_Factura.a3x
SHA256 237d1bca6e056df5bb16a1216a434634109478f882d3b1d58344c801d184f95d reyna.exe
SHA256 b3ce811fb696b94f9117ee7fe725ae6b907d695636beceeb1672d5d5eeb81df4 sqlite3.dll
URL aguiasoft.com[.]br Configuración Malware
URL http://aguiasoft.com[.]br/blog/hydra/do/it.php Configuración Malware
URL http://aguiasoft.com[.]br/blog/hydra/do/it.php?b1=1&v1=1033&v2=1033&v3=Windows%207&v4=Admin&v5=X86 Configuración Malware
URL www.autoitscript[.]com Configuración Malware
URL https://www.autoitscript[.]com/autoit3/pkgmgr/sqlite/sqlite3.dll Configuración Malware
URL 20.189.173[.]15:443 Configuración Malware

Recomendaciones

  • Los usuarios deberían procurar:
    • No abrir correos ni mensajes de dudosa procedencia.
    • Desconfiar de los enlaces y archivos en los mensajes o correo.
    • Solicitar que sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java y otras) estén actualizadas.
    • Ser escépticos frente ofertas, promociones o premios increíbles que se ofrecen por internet.
    • Prestar atención en los detalles de los mensajes o redes sociales.
    • Solicitar que todas las plataformas de tecnologías y de detección de amenazas estén actualizadas.
    • Siempre intentar verificar que los sitios web que se visitan sean los oficiales.
    • No descargar software que no cuente con la autorización del equipo de informática (cracks, antivirus, utilitarios, juegos, aplicaciones de oficina, etc.).
    • Notificar oportunamente a sus encargados de ciberseguridad para que investiguen el incidente, comprueben si ha llegado a otros usuarios y apliquen las mitigaciones pertinentes. Algunas señales que debieran gatillar un informe inmediato:
      • Mi equipo presenta alto consumo de CPU y de memoria.
      • Accedí a un portal y entregué mis credenciales, y luego me percaté que no era un sitio institucional u oficial.
      • Mis archivos están inaccesibles (parece que están encriptados).
      • En mi computador aparece una nota o mensaje que solicita un rescate por recuperar mis archivos.
      • Mi ejecutivo de finanzas u otras personas dicen que desde mi correo les he enviado un mail y no he sido yo.
    • Los administradores deben:
      • Implementar controles anti spoofing (DKIM, SPF y DMARC).
      • Revisar la información que se expone de sus usuarios en sus sitios y sistemas web.
      • Filtrar o bloquear los correos entrantes que sean clasificados como phishing.
      • Evaluar el bloqueo preventivo de los indicadores de compromisos.
      • Revisar los controles de seguridad de los antispam y sandboxing.
      • Instruir a sus usuarios sobre el phishing y ayudarlos a reconocerlos. Realizar concientización permanente para los usuarios sobre este tipo de amenazas.
      • Crear mecanismos amistosos para el reporte y el feedback, en un entorno donde no se busque la culpabilidad, sino que la solución.
      • Implementar 2FA.
      • Proteger a sus usuarios de sitios maliciosos usando proxy servers y manteniendo actualizados sus browsers.
      • Proteger sus dispositivos del malware.
      • Tener un protocolo de respuesta rápido ante estos incidentes.
      • Detectar rápidamente estos incidentes instando a los usuarios a que reporten rápidamente cualquier actividad sospechosa.

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 2CMV22-00390-01.

2CMV22-00390-01 CSIRT alerta ante campaña de phishing con malware, que suplanta a Extral