Cerrar close
19 de febrero 2018

Alertan de facturas apócrifas de Telcel

Publicado por: Cybiller

 Uno de los métodos de ataque mas comunes son los ataques dirigidos al factor humano, llamados en general «ataques de Phishing». Aunque existen muchos distintos tipos de este tipo de amenaza, casi todos hacen uso de engaño para que el usuario diera clic sobre algún enlace, o para que descargue y ejecute un archivo.

Hoy les quiero informar acerca de un archivo de este tipo que esta circulando en México, infectando maquinas de usuarios quienes caen en esta trampa, con herramientas de control remoto (RAT, por sus siglas en ingles).

El archivo fue identificado por nuestro equipo debido a reportes de usuarios a la pagina VirusTotal. Aun no tenemos evidencia acerca de la forma de distribución de este archivo (por correo, redes sociales etc.), sin embargo se conoce los siguientes característicos:

  1. Nombre del archivo: «Edo_cuenta_Telcel.docm»

  2. MD5: c1e092c7c9473094b65142dc0e12609e

  3. SHA-256: bddd2d5136b79d856ea3f024e151578dbe604e427cd504298ed582cfc515b4f8

Cuando el usuario ejecuta el archivo le aparece la siguiente pantalla:

Como se puede observar, al abrir el documento se le solicita al usuario los últimos 4 dígitos (supuestamente de una tarjeta de crédito o del numero celular), y al dar clic sobre el botón «OK», se ejecuta un comando de PowerShell, descargando un archivo malicioso desde un link autentico de Google Drive: hxxps://drive.google[.]com/uc?export=download&id=1eWVOmwLVGFxJJORreVqu_0v6xSoGXShc

El archivo malicioso tiene los siguientes característicos:

  1. Nombres del archivo: «binario01.bin», «Update.SmartWin.scr»

  2. MD5: b6194a60a0d1bb2519b77e5156d83da1

  3. SHA-256: cb30a8422f871c3ed6839af378a0f4900f5266475efd5c9373da730a1788a806

En paralelo, para distraer al usuario, se descarga una factura apócrifa de Telcel en formato PDF utilizando el siguiente link de Google Drive: hxxps://drive.google[.]com/uc?export=download&id=1nD–gO1sHjaHghlRILZlLExKrGKlyrwR

El archivo PDF de la factura apócrifa tiene los siguientes característicos:

  1. Nombre del archivo: «Factura Dipsa sa de cv.pdf»

  2. MD5: 360cdf05e7b4f46ef1a508b9983303af

  3. SHA-256: 56eec198f34e93b29918bd767652f5b90d67f6c43784b180f345a58060fe5a79

Captura de pantalla del archivo PDF:

Después de reiniciar el equipo, el archivo malicioso descarga, instala y ejecuta el programa de control remoto conocida como «NetSupport Manager» (http://www.netsupportmanager.com/index.asp)

Recomendaciones

  1. Informar a sus usuarios acerca de esta amenaza, para que eviten la descarga de estos archivos.

  2. Bloquear los hashes de los archivos maliciosos en los mecanismos de protección perimetral / protección de correo electrónico / antivirus / endpoint protection.

  3. Realizar búsquedas en su servidor de correo electrónico para detectar si ya fueron recibidos correos que coinciden con estos característicos.

Noticias relacionadas

09 de enero 2018

DETECTAN CÓDIGO MALICIOSO EN INFRAESTRUCTURA DE INTERNET EN MÉXICO

Publicado por NetMediaMx Escrito por: Rosa Martínez Gómez   La Procuraduría General de la República, a través de la Agencia de Investigación Criminal (AIC), en colaboración con el Buró Federal de Investigaciones (FBI, por sus siglas en inglés), logró identificar un software malicioso de origen norcoreano en la infraestructura del ciberespacio mexicano. Este “posible virus […]

25 de octubre 2017

Las redes sociales como espacios para el discurso nocivo

La línea del discurso nocivo parece haberse apoderado de internet.

11 de abril 2018

Descubre con este link si Cambridge Analytica ‘robó’ tu información de Facebook

Fueron 87 millones de perfiles de Facebook los afectados por la filtración de información de Cambridge Anaytica

Contacto

Por favor escríbenos cualquier observación, comentario o duda. Estaremos al pendiente, ¡gracias!

Enviar un comentario Inscripción a talleres