TONEDEAF, Valuevault y Longwatch: Familias de malwares que utilizan archivo malicioso ERFT-Details.xls con LINKEDIN
Grupo Iraní utiliza linkedIn para distribuir malware
to-Job-Seekers-1024×576.png?resize=1024%2C576&ssl=1″ width=”1024″ height=”576″ />
El grupo iraní APT34/OilRig, también conocido como OilRig, HelixKitten o GreenBug, ha lanzado una nueva campaña de phishing contra el sector energético, petrolero y de gas, además de entidades gubernamentales.
APT34 es un grupo iraní dedicado al ciberespionaje que lleva activo desde, al menos, 2014. Usan una combinación de herramientas públicas y no públicas para la recolección de información estratégica que beneficiaría los intereses de los estados nacionales relacionados con sus necesidades geopolíticas y económicas.
La campaña fue descubierta el pasado junio por investigadores de FireEye. Los atacantes se hicieron pasar por personal de la universidad de Cambridge para ganarse la confianza de las víctimas y que éstas abriesen los documentos infectados.
El SOC de FireEye analizó la alerta e identificó el archivo malicioso System.doc, que, a pesar de tener la extensión .doc, es un archivo ejecutable ubicado en C: \ Users \ <Nombre de usuario> \ .templates. FireEye identificó esta familia de malware como Tonedeaf.
Según el informe de FireEye, OilRig ha actualizado su cinturón de herramientas y ha añadido tres nuevas familias de malware: Tonedeaf, Valuevault y Longwatch. También se identificó una variante de Pickpocket, una herramienta de robo de credenciales del navegador que vuelca las credenciales de inicio de sesión guardadas en Chrome, Firefox e Internet Explorer en un archivo.
Tonedeaf es un backdoor que recolecta información del sistema. Puede cargar, descargar archivos y ejecutar comandos de shell. Se comunica con un servidor C&C utilizando las solicitudes HTTP GET y POST. En la campaña reciente el malware se distribuyó a través de un mensaje de LinkedIn en un archivo .xls infectado llamado ERFT-Details.xls. La hoja de cálculo creó un archivo ejecutable en el sistema y programó una tarea llamada «comprobación de actualización de windows» que ejecuta el archivo C: \ Users \ <Nombre de Usuario> \ .templates \ System Manager.exe cada minuto. Al cerrar la hoja de cálculo una función final renombrará el archivo System.doc a System Manager.exe.
Función que renombra el archivo:
Además, se detectaron otras familias nuevas que se conectaban al mismo dominio (offlineearthquake [.]com).
Valuevault es una versión de la herramienta de robo de credenciales del navegador de Windows Vault Password Dumper. Mantiene la misma funcionalidad que la herramienta original al permitir extraer las contraseñas guardadas en el almacén de windows, llamar a PowerShell para extraer el historial de navegación del navegador y comparar las contraseñas del navegador con los sitios visitados.
Longwatch es un keylogger que guarda un archivo log.txt en la carpeta temporal de Windows.
Fuente: FireEye
Ver información original al respecto en Fuente>
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.