Alerta de campaña de Phishing e infección de malware en El Salvador

Recientemente hemos recibido, en los laboratorios de Devel Security by Deloitte, una muestra de un correo electrónico fraudulento, proveniente aparentemente del Ministerio de Hacienda (institución de recaudación tributaria en El Salvador), y nos hemos dado a la tarea de analizarlo con el objetivo de alertar a los usuarios. Se trata de una campaña de Phishing Dirigido, con intenciones de infectar de un malware troyano el dispositivo de la víctima, para el robo de información sensible mediante un keylogger.

1

Correo electrónico fraudulento

La URL hace un re direccionamiento a un sitio malicioso, en donde se encuentra almacenado un archivo de Excel (XLS).

2

Descarga de archivo malicioso XLS

Al abrir el archivo, éste solicita la HABILITACIÓN DE EDICIÓN del documento.

3

Documento de Excel solicitando habilitación de EDICIÓN.

Seguidamente, se solicita al usuario la HABILITACIÓN DE MACROS; ésta es una técnica ampliamente utilizada por atacantes para la ejecución posterior de código malicioso.

4

Documento de Excel solicitando habilitación de MACROS.

Una vez habilitadas las macros, analizamos el comportamiento del proceso principal del documento de Excel y podemos ver que, se ejecuta una serie de comandos vía PowerShell, en donde se hace la descarga de varios archivos ejecutables maliciosos.

5

Ejecución de PowereShell

6

Ejecución de comandos vía PowerShell

8

Ejecución de archivo malicioso vía línea de comandos C#

Posterior al análisis de los archivos maliciosos, pudimos deducir que las acciones maliciosas que éste realiza, son actividades de Keylogging, y control remoto del dispositivo vía herramientas RAT (Remote Administration Tools).

9

Detalle de actividades tipo Keylogging y RAT, maliciosas

Por lo que, recomendamos tomar las precauciones del caso y bloquear las siguientes direcciones y archivos maliciosos:

10

 

Nombre de Archivo Hash MD5
tsntgy.xls
0ff1c3v4l1dKey2017.exe
ad0v3upd4t3s2o16.exe
517.exe
218.exe
958.exe
Ad0v3tmp73490.exe
n8bgb.exe
aeea9d814841381b2af8023f1ce3da42
fe823f43c600ff195ae097e107faa572
9d01fc2ae1c6767c7836f2338032f429
fe823f43c600ff195ae097e107faa572
ebefea307893ec4e311bac869e40fdd9
9d01fc2ae1c6767c7836f2338032f429
fe823f43c600ff195ae097e107faa572
622142180f0946aef183870fa8a15ac2