Cerrar close
19 de febrero 2018

Alertan de facturas apócrifas de Telcel

Publicado por: Cybiller

 Uno de los métodos de ataque mas comunes son los ataques dirigidos al factor humano, llamados en general «ataques de Phishing». Aunque existen muchos distintos tipos de este tipo de amenaza, casi todos hacen uso de engaño para que el usuario diera clic sobre algún enlace, o para que descargue y ejecute un archivo.

Hoy les quiero informar acerca de un archivo de este tipo que esta circulando en México, infectando maquinas de usuarios quienes caen en esta trampa, con herramientas de control remoto (RAT, por sus siglas en ingles).

El archivo fue identificado por nuestro equipo debido a reportes de usuarios a la pagina VirusTotal. Aun no tenemos evidencia acerca de la forma de distribución de este archivo (por correo, redes sociales etc.), sin embargo se conoce los siguientes característicos:

  1. Nombre del archivo: «Edo_cuenta_Telcel.docm»

  2. MD5: c1e092c7c9473094b65142dc0e12609e

  3. SHA-256: bddd2d5136b79d856ea3f024e151578dbe604e427cd504298ed582cfc515b4f8

Cuando el usuario ejecuta el archivo le aparece la siguiente pantalla:

Como se puede observar, al abrir el documento se le solicita al usuario los últimos 4 dígitos (supuestamente de una tarjeta de crédito o del numero celular), y al dar clic sobre el botón «OK», se ejecuta un comando de PowerShell, descargando un archivo malicioso desde un link autentico de Google Drive: hxxps://drive.google[.]com/uc?export=download&id=1eWVOmwLVGFxJJORreVqu_0v6xSoGXShc

El archivo malicioso tiene los siguientes característicos:

  1. Nombres del archivo: «binario01.bin», «Update.SmartWin.scr»

  2. MD5: b6194a60a0d1bb2519b77e5156d83da1

  3. SHA-256: cb30a8422f871c3ed6839af378a0f4900f5266475efd5c9373da730a1788a806

En paralelo, para distraer al usuario, se descarga una factura apócrifa de Telcel en formato PDF utilizando el siguiente link de Google Drive: hxxps://drive.google[.]com/uc?export=download&id=1nD–gO1sHjaHghlRILZlLExKrGKlyrwR

El archivo PDF de la factura apócrifa tiene los siguientes característicos:

  1. Nombre del archivo: «Factura Dipsa sa de cv.pdf»

  2. MD5: 360cdf05e7b4f46ef1a508b9983303af

  3. SHA-256: 56eec198f34e93b29918bd767652f5b90d67f6c43784b180f345a58060fe5a79

Captura de pantalla del archivo PDF:

Después de reiniciar el equipo, el archivo malicioso descarga, instala y ejecuta el programa de control remoto conocida como «NetSupport Manager» (http://www.netsupportmanager.com/index.asp)

Recomendaciones

  1. Informar a sus usuarios acerca de esta amenaza, para que eviten la descarga de estos archivos.

  2. Bloquear los hashes de los archivos maliciosos en los mecanismos de protección perimetral / protección de correo electrónico / antivirus / endpoint protection.

  3. Realizar búsquedas en su servidor de correo electrónico para detectar si ya fueron recibidos correos que coinciden con estos característicos.

Noticias relacionadas

30 de enero 2020

Propósitos para mejorar tu seguridad digital en 2020

Publicado por R3d.mx El nuevo año es un pretexto excelente para adquirir mejores prácticas de seguridad digital y cuidar tu actividad en línea. Si aún no sabes por dónde comenzar, te compartimos seis propósitos que puedes adoptar este 2020. 1) Protege tus dispositivos Tu celular y computadora contienen acceso a una gran cantidad de información […]

24 de abril 2018

Detectan aplicaciones de seguridad falsas para Android

Aplicaciones despliegan publicidad que intenta imitar verdaderas soluciones de seguridad para móviles.

21 de agosto 2018

¿Qué es la red IRIS y por qué la policía debería actualizarla?

El gobierno analiza la modernización de la infraestructura de comunicación de la Red Nacional de Seguridad Pública IRIS

Contacto

Por favor escríbenos cualquier observación, comentario o duda. Estaremos al pendiente, ¡gracias!

Enviar un comentario Inscripción a talleres