Nueva variante de Ursnif ataca a entidades italianas
Ya hablamos en su momento de Ursnif, un viejo conocido entre la comunidad de analistas de malware. Fue uno de los bankers más prolíficos de los dos últimos años y afectó a usuarios de distintas partes del mundo: Japón, Norte América, Europa y Australia fueron las zonas más afectadas. El malware, activo desde 2009 ha evolucionado en distintas variantes para adaptarse a los mecanismos que tratan de impedir la amenaza.
Recientemente se ha encontrado una nueva variante que utiliza técnicas de ingeniería social y documentos de Microsoft Word modificados para infectar a las víctimas.
El proceso de infección comienza con un correo dirigido a la víctima con un documento de Word adjunto.
El documento de Word muestra un phishing que intenta convencer a la víctima de que habilite las macros para poder ver correctamente el contenido del documento.
Phishing en el documento de Word. Fuente: http://csecybsec.com |
Una vez permitida la ejecución de macros, el malware ya puede infectar la máquina y propagarse. Para ello ejecuta un payload que descargará del servidor de C&C. El cual instalará el binario malicioso en el sistema y descargará otro (cmiftall.exe) que implementará la persistencia, añadiendo una entrada maliciosa al registro de Windows. Además, el malware se intentará propagar enviando el correo con el adjunto malicioso a los contactos de la víctima.
Como decíamos la campaña está dirigida a usuarios italianos. El correo se presenta escrito en este idioma, con faltas de ortografía y un documento de Microsoft Word adjunto. Algunas muestras encontradas nombraban a estos ficheros como:
- ComunediVALDELLATORRE_Richiesta.doc
- IV_Richiesta.doc
- OrdineDeiGiornalisti_Richiesta.doc
- WSGgroup_Richiesta.doc
- CB_Richiesta.doc
Algunos IOCs compartidos por CSE Cybsec son:
Dominios
- qwdqwdqwd19 .com
- g94q1w8dqw .com
- vqubwduhbsd .com
- fq1qwd8qwd4 .com
- wdq9d5q18wd .com
- qwd1q6w1dq6wd1 .com
- qw8e78qw7e .com
- qwdohqwnduasndwjd212 .com
IPs
- 23.227.201.166
- 172.106.170.85
- 89.37.226.117
- 86.105.1.131
- 62.113.238.147
- 89.37.226.156
- 198.55.107.164
Emails
- whois-protect@hotmail.com
- zhejiangshangbang@qq.com
Hashes
- C97E623145F7B44497B31EF31A39EFED
- B48F658DBD0EF764778F953E788D38C9
- 6F571B39FCDE69100EB7AEC3C0DB0A98
- 29CA7312B356531F9A7A4C1C8D164BDD
- 535A4EBB8AEF4C3F18D9B68331F4B964
- 347CE248B44F2B26ADC600356B6E9034
- 3C301FF033CB3F1AF0652579AD5BC859
- 716D8D952102F313F65436DCB89E90AE
- FD26B4B73E73153F934E3535A42B7A16
Como siempre, desde Hispasec recomendamos no abrir correos con adjuntos no solicitados.
Powered by WPeMatico