Cerrar close
19 de febrero 2018

Alertan de facturas apócrifas de Telcel

Publicado por: Cybiller

 Uno de los métodos de ataque mas comunes son los ataques dirigidos al factor humano, llamados en general «ataques de Phishing». Aunque existen muchos distintos tipos de este tipo de amenaza, casi todos hacen uso de engaño para que el usuario diera clic sobre algún enlace, o para que descargue y ejecute un archivo.

Hoy les quiero informar acerca de un archivo de este tipo que esta circulando en México, infectando maquinas de usuarios quienes caen en esta trampa, con herramientas de control remoto (RAT, por sus siglas en ingles).

El archivo fue identificado por nuestro equipo debido a reportes de usuarios a la pagina VirusTotal. Aun no tenemos evidencia acerca de la forma de distribución de este archivo (por correo, redes sociales etc.), sin embargo se conoce los siguientes característicos:

  1. Nombre del archivo: «Edo_cuenta_Telcel.docm»

  2. MD5: c1e092c7c9473094b65142dc0e12609e

  3. SHA-256: bddd2d5136b79d856ea3f024e151578dbe604e427cd504298ed582cfc515b4f8

Cuando el usuario ejecuta el archivo le aparece la siguiente pantalla:

Como se puede observar, al abrir el documento se le solicita al usuario los últimos 4 dígitos (supuestamente de una tarjeta de crédito o del numero celular), y al dar clic sobre el botón «OK», se ejecuta un comando de PowerShell, descargando un archivo malicioso desde un link autentico de Google Drive: hxxps://drive.google[.]com/uc?export=download&id=1eWVOmwLVGFxJJORreVqu_0v6xSoGXShc

El archivo malicioso tiene los siguientes característicos:

  1. Nombres del archivo: «binario01.bin», «Update.SmartWin.scr»

  2. MD5: b6194a60a0d1bb2519b77e5156d83da1

  3. SHA-256: cb30a8422f871c3ed6839af378a0f4900f5266475efd5c9373da730a1788a806

En paralelo, para distraer al usuario, se descarga una factura apócrifa de Telcel en formato PDF utilizando el siguiente link de Google Drive: hxxps://drive.google[.]com/uc?export=download&id=1nD–gO1sHjaHghlRILZlLExKrGKlyrwR

El archivo PDF de la factura apócrifa tiene los siguientes característicos:

  1. Nombre del archivo: «Factura Dipsa sa de cv.pdf»

  2. MD5: 360cdf05e7b4f46ef1a508b9983303af

  3. SHA-256: 56eec198f34e93b29918bd767652f5b90d67f6c43784b180f345a58060fe5a79

Captura de pantalla del archivo PDF:

Después de reiniciar el equipo, el archivo malicioso descarga, instala y ejecuta el programa de control remoto conocida como «NetSupport Manager» (http://www.netsupportmanager.com/index.asp)

Recomendaciones

  1. Informar a sus usuarios acerca de esta amenaza, para que eviten la descarga de estos archivos.

  2. Bloquear los hashes de los archivos maliciosos en los mecanismos de protección perimetral / protección de correo electrónico / antivirus / endpoint protection.

  3. Realizar búsquedas en su servidor de correo electrónico para detectar si ya fueron recibidos correos que coinciden con estos característicos.

Noticias relacionadas

02 de diciembre 2020

Aprende a proteger tu información durante el home office

Publicado por: Dinero en imagen Este año muchas personas experimentaron, por primera vez, el home office al que algunos se acoplaron rápidamente y a otros les generó estrés, pero en general colocó a todos en la mira de los cibercriminales. El home office es un término en inglés para referirse a modelo en el que […]

26 de septiembre 2017

USUARIOS DE ESTADOS UNIDOS, ¿LOS ÚNICOS AFECTADOS EN EL CIBERATAQUE A EQUIFAX?

Una vulnerabilidad deja 143 millones de datos crediticios en riesgo.

05 de septiembre 2017

¡Cuidado! Condusef alerta sobre fraudes con correos falsos de Apple

En el correo electrónico se informa a los usuarios, que realizaron compras en la tienda iTunes.

Contacto

Por favor escríbenos cualquier observación, comentario o duda. Estaremos al pendiente, ¡gracias!

Enviar un comentario Inscripción a talleres