Nueva variante de URSNIF ataca entidades italianas
Los investigadores de CSE Cybsec ZLab estudian una nueva variante de Ursnif que apunta a compañías italianas utilizando documentos de Microsoft Word especialmente manipulados.
Ya hablamos en su momento de Ursnif, un viejo conocido entre la comunidad de analistas de malware. Fue uno de los bankers más prolíficos de los dos últimos años y afectó a usuarios de distintas partes del mundo: Japón, Norte América, Europa y Australia fueron las zonas más afectadas. El malware, activo desde 2009 ha evolucionado en distintas variantes para adaptarse a los mecanismos que tratan de impedir la amenaza.
Recientemente se ha encontrado una nueva variante que utiliza técnicas de ingeniería social y documentos de Microsoft Word modificados para infectar a las víctimas.
El proceso de infección comienza con un correo dirigido a la víctima con un documento de Word adjunto.
El documento de Word muestra un phishing que intenta convencer a la víctima de que habilite las macros para poder ver correctamente el contenido del documento.
Phishing en el documento de Word. Fuente: http://csecybsec.com
Una vez permitida la ejecución de macros, el malware ya puede infectar la máquina y propagarse. Para ello ejecuta un payload que descargará del servidor de C&C. El cual instalará el binario malicioso en el sistema y descargará otro (cmiftall.exe) que implementará la persistencia, añadiendo una entrada maliciosa al registro de Windows. Además, el malware se intentará propagar enviando el correo con el adjunto malicioso a los contactos de la víctima.
Como decíamos la campaña está dirigida a usuarios italianos. El correo se presenta escrito en este idioma, con faltas de ortografía y un documento de Microsoft Word adjunto. Algunas muestras encontradas nombraban a estos ficheros como:
ComunediVALDELLATORRE_Richiesta.doc
IV_Richiesta.doc
OrdineDeiGiornalisti_Richiesta.doc
WSGgroup_Richiesta.doc
CB_Richiesta.doc
Algunos IOCs compartidos por CSE Cybsec son:
Dominios
qwdqwdqwd19 .com
g94q1w8dqw .com
vqubwduhbsd .com
fq1qwd8qwd4 .com
wdq9d5q18wd .com
qwd1q6w1dq6wd1 .com
qw8e78qw7e .com
qwdohqwnduasndwjd212 .com
IPs
23.227.201.166
172.106.170.85
89.37.226.117
86.105.1.131
62.113.238.147
89.37.226.156
198.55.107.164
Emails
whois-protect@hotmail.com
zhejiangshangbang@qq.com
Hashes
C97E623145F7B44497B31EF31A39EFED
B48F658DBD0EF764778F953E788D38C9
6F571B39FCDE69100EB7AEC3C0DB0A98
29CA7312B356531F9A7A4C1C8D164BDD
535A4EBB8AEF4C3F18D9B68331F4B964
347CE248B44F2B26ADC600356B6E9034
3C301FF033CB3F1AF0652579AD5BC859
716D8D952102F313F65436DCB89E90AE
FD26B4B73E73153F934E3535A42B7A16
Como siempre, desde Hispasec recomendamos no abrir correos con adjuntos no solicitados
Ver información original al respecto en Fuente:
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.