Alerta de Phishing en Guatemala: SIB y entidades bancarias

En los  últimos días se ha estado distribuyendo una campaña de Phishing Dirigido a usuarios de instituciones bancarias. Dicha campaña se aprovecha de imagen la Superintendencia de Bancos de Guatemala para engañar a los usuarios.

A continuación ese le solicita al usuario descargar un archivo desde una plataforma de almacenamiento de archivos en la nube:

El archivo descargado es un documento de Word (.doc). En este punto podemos identificar cierta información a nivel de metadatos del archivo:

Posteriormente procedemos a abrir el documento, pudiendo visualizar que dicho documento solicita la habilitación de macros, y no contiene ninguna información como contenido del procesador de textos como tal:

Procedemos a analizar la información de las macros, identificando la creación de un payload en varias partes, y de manera ofuscada, lo que permite la ejecución de un ejecutable embebido, identificado como bitsadmin.exe, el cuál es una herramienta en línea de comandos de Windows que facilita la descarga y carga de trabajos (Jobs) y monitoreo de su progreso.

Resumen de la ejecución de la macro

Una vez ejecutado el macro, podemos analizar los procesos a nivel de sistema operativo, e identificamos que, efectivamente el proceso de la herramienta bistadmin.exe realiza la descarga de un archivo, potencialmente malicioso, el cuál realiza una descarga de un archivo malicioso:

Descarga de archivo malicioso

Hacemos una recolección de información sobre el dominio desde donde se hace la descarga del archivo malicioso, y podemos ver información de contacto útil.

Una vez descargado éste archivo malicioso, hemos podido observar cómo ejecuta a continuación una secuencia de archivos maliciosos adicionales, que llevan a cabo actividades como instalación como servicio al iniciar el equipo, captura de teclas (keylogger), reinicio del sistema de manera remota, utilización de cámara web, entre otros, características típicas de un Spyware y RAT (Remote Administration Tool).

Ciclo de ejecución de archivos maliciosos

Funcionalidad de captura de teclado (keylogger)

 

Uno de los archivos maliciosos extraídos, el cuál ya es identificado por algunas soluciones Antivirus.

Recomendamos tomar las acciones preventivas correspondientes, y correctivas en aquellos casos donde ya hayan sido víctimas de éste tipo de engaño. Desde Devel Security, proveemos herramientas y servicios que proveen la identificación y mitigación de manera proactiva de éste tipo de actividades fraudulentas. Si estás interesado en conocer más sobre los servicios que podemos brindarte desde nuestro SOC (Security Operations Center) contáctanos.

Información de archivos maliciosos:

No Nombre Archivo MD5 SHA256
1 Reporte De Credito Especial – Buro de Credito Guatemala Folio de Cargos Registrados 465565.doc a67fe5c69459f0e2e671b83c8f8ba93b 0caaee11773a59e44b8c2d8fad6444d1e1e0bc4a52d751c266870d1a0a92ad95
2 AVGF1rr3w4ll.exe ff20a5ab30fe9777e3ac7b1170cc3206 52ecb1d12f3da7b10baeb4eb990a0ee761686079a993787e95981551cc9c7f26
3 ylykSrRU45.exe ff20a5ab30fe9777e3ac7b1170cc3206 52ecb1d12f3da7b10baeb4eb990a0ee761686079a993787e95981551cc9c7f26
4 http://rsafinderfirewall.com / 103.200.22.206
5 Pewiofjs44.exe 47c267d900f6701381a40faa3a5659117f7abafafb29253a7e1aecef46f9807e
5 hax.exe 71d8f6d5dc35517275bc38ebcc815f9f fb73a819b37523126c7708a1d06f3b8825fa60c926154ab2d511ba668f49dc4b