Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Chile
Santiago, 29 de Septiembre del 2019
Nota
Este informe ha sido clasificado con TLP BLANCO. La información puede ser distribuida sin
restricciones.
CSIRT Firmado
digitalmente por
La alerta informaba sobre la activación de múltiples campañas nivel mundial, así como campañas
dirigidas a Chile.
Esta publicación proporciona detalle del método de infección y el comportamiento de las campañas
que están dirigidas contra nuestro país. Además se comparten indicadores de compromisos y
formas de prevenir ataques de ingeniería social que son utilizados por los atacantes.
Si bien las técnicas descubiertas por este CSIRT ya han sido documentadas anteriormente, el
objetivo de este documento es ilustrar a los usuarios respecto a la frecuencia de ocurrencia de estos
eventos y las precauciones que deben ser consideradas.
Análisis del Caso
Con fecha 24 de Septiembre de 2019, el Equipo de Respuesta ante Incidentes de Seguridad
Informática detectó campañas de phishing Emotet en Chile. Este Malware que fue conocido por ser
un troyano bancario ha evolucionado constantemente infectando otras familias de malware a los
equipos infectados.
El CSIRT de Gobierno analizó correos de phishing que intentaban difundir el troyano Emotet que
contenían documentos maliciosos de Word.
Primero, para poder generar la infección se requiere que el usuario interaccione con el proceso de
infección, es decir, que abra el correo electrónico, ejecute el documento Word, habilite la ejecución
macros, y dependiendo la configuración del office, podría permitir la ejecución automática de
PowerShell, que a su vez, descarga y ejecuta el troyano Emotet, como se ilustra a continuación.
Del análisis de los correos electrónicos distribuidos por los atacantes se pudo constatar que, el
método que utilizan para engañar a las personas es falsificar el nombre de la persona que envía el
correo.
Existen otros métodos como la falsificación de dominio y/o envió de correos de cuenta de correo
electrónico ya vulnerada, que permiten dar mayor credibilidad al mensaje.
Este informe toma como ejemplo una muestra de un envío masivo de correos electrónicos.
La muestra tenía como propósito suplantar una cuenta de correo electrónico de la “Fundación
Nuestros Hijos”. En la muestra, la dirección falsificada se encontraba ofuscada en Base64 y, al
decodificarla, se obtuvo la dirección de correo y el nombre real que intentaba suplantar y que
observa el usuario al recibir el correo, en este caso, “Sabino Aliste Gálvez <saliste@fnh.cl”. Se debe
tener presente que el nombre y el correo que utilizan es otra víctima más de los atacantes.
En la muestra, el correo electrónico proviene de una cuenta a nombre del Hotel “Fontane Bianche”.
Esto no quiere decir que estén propagando el phishing, sino que existe la posibilidad que hayan sido
víctimas de algún actor malicioso que intervino algún sistema del organismo.
En general, el texto de los correos electrónicos informa que existe un documento adjunto en un
lenguaje claro y en español, incentivando de ese modo a abrir el documento.
En esta investigación se observó que el script de Powershell se comunica a internet para iniciar el
proceso de la descarga del malware. Esta comunicación se produjo, en su mayoría, con sitios de
Wordpress con software CMS intervenidos previamente por los atacantes, los que eran utilizados
para almacenar archivos maliciosos.
Figura 5. Procesos
Al revisar la captura de tráfico que se obtuvo producto de la ejecución del documento Word, se
pudo ver la comunicación a servidores DNS.
Luego de la descarga del archivo, se generan peticiones POST hacia dos URI que corresponden a la
mima dirección IP “187.199.158.226”
Figura 8. Trafico Secundario Post
Al ser consultadas las IPs en el portal de Virustoral, se pudo constatar que se encuentraban
catalogadas como maliciosas. Además se pudo observar que varios documentos Word tuvieron
comunicación con dichas IPs.
Figura 10. VirusTotal “yxi1r47j6mggd.exe”
Según nuestra telemetría, el Hash del archivo ejecutable se ha podido identificar en varios lugares
del mundo con distintos nombres.
Este tipo de ataque es más conocido como troyano Emotet, cuya actividad se reactivó en todo el
mundo en los últimos días, tal como se ha publicado en varios medios de seguridad e
investigaciones, y como lo advirtiera el CSIRT de Gobierno oportunamente.
Este tipo de troyano además puede entregar otras cargas de malware como familias de
ransomware, trickbot y AZORult.
Es por ello que se insta a los usuarios de internet a seguir las recomendaciones básicas que se indican
más adelante, ya que cada vez más los cibercriminales recurren al engaño para obtener réditos
económicos.
Recomendaciones
No abrir correos de dudosa procedencia.
No abrir correos si no existe ningún servicio con la entidad o persona que envía el correo.
Configurar la protección de antivirus lo más elevado posible, y mantenerlo actualizado.
Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java,
entre otras).
Evaluar el bloqueo preventivo de los indicadores de compromisos.
Revisar los controles de seguridad de los AntiSpam y SandBoxing.
Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.
Realizar concientización permanente para los usuarios sobre este tipo de amenazas.
Indicadores de compromisos
Hashes
MD5
8e9dc7e80ba63aa3491d21c8b637dc82
e8554809ec3c8dfb68f2dd37027dadea
0b431972094e9ea43fa6b12d64baf58d
33a1ca75205808e8f1d12a33ac4a4097
40f3f2500fcc28e2ed1a91a2108be770
f094fd399b431f1ddb299e3722f5c2bb
e5b819f922984372ea4f6273c1427e25
SHA256
D1F24A377589BD9A6A70C60871522CF87BABC1E2FBE8FCE9B67FA0256C360271
B88A26C21AAEDF826544B95915D2F632FBB4ACCFEA4381DEF520CECBB4D316D8
38DBAC3AB5ADBFB219D940EAEB33098E643A95AAAF793609703A89EB3BC28D9B
5540652B435D6C77D565AD13DBE5B9899E2D9D8A4349F23632AC6328175FB92C
F562667EC7101A82FFFFF304C1E2D9AB8FE38850B133D06E34A9B620D2495F42
Url’s:
http[:]//www[.]bulbulstore[.]com/configweb/82oua00_nmnza-219207040/
http[:]//www[.]saeblaser[.]com/wp-admin/jx7w814/
http[:]//www[.]saeblaser[.]com/wp-admin/jx7w814
http[:]//www[.]globercm[.]com/wp-content/u43zzh54
http[:]//www[.]praguelofts[.]fantasy-web[.]net/wp-content/yho3521
http[:]//www[.]westburydentalcare[.]com/wp-content/tc3q3db789
http[:]//www[.]purl[.]org/dc/terms/xmlns[:]dcmitype
http[:]//www[.]inquireexpert[.]com/css/enkw243373
http[:]//www[.]guanchangwen[.]com/nofij3ksa/t6524
http[:]//www[.]eastwoodoutdoor[.]com/cgi-bin/t3186
http[:]//www[.]elisabietta[.]com/wp-content/44bj2z00
http[:]//www[.]vivekanandadegreecollege[.]com/wp-includes/j63213
http[:]//www[.]zimahenergy[.]com/wp-content/azwk6
http[:]//www[.]averybit[.]com/wp-content/uploads/d4
http[:]//www[.]hepsihediyelik[.]net/wp-admin/7l8ob60
http[:]//www[.]costaging[.]com/staffheroes/ak9qqa045
http[:]//www[.]dimsum[.]xp-gamer[.]com/cgi-bin/nl72965
http[:]//www[.]divakurutemizleme[.]com/wp-content/p4481
http[:]//www[.]every-day-sale[.]com/ab/1kxf6j325978
http[:]//www[.]purepropertiesobx[.]com/menusa/edt222
http[:]//www[.]sidanah[.]com/wp-admin/6dtjzp2161
http[:]//www[.]fashionupnext[.]com/wp-content/0j6w3at1
http[:]//www[.]esoftlensmurah[.]com/wp-admin/x0300
http[:]//www[.]dev[.]yashcodigital[.]com/cgi-bin/h11
http[:]//www[.]finalchace[.]com/wp-includes/nm86909
http[:]//www[.]greenbeanph[.]com/cgi-bin/10zho5
http[:]//www[.]devcorder[.]com/yberdigital-info/vs8yoml510
http[:]//www[.]gzbfashion[.]com/wp-content/259
http[:]//www[.]mosheperes[.]xyz/images/rbx31fh71
http[:]//www[.]martx[.]com/hotel-telephones/3juc78242
http[:]//www[.]saeblaser[.]com/wp-admin/jx7w814
http[:]//www[.]dtupl[.]com/wp-admin/g3ei2390
http[:]//www[.]demo[.]econzserver[.]com/blackhood/gkxo2
IPs:
187[.]199[.]158[.]226/pdf/
187[.]199[.]158[.]226/taskbar/pnp/
201[.]214[.]74[.]71/iplk/merge/
201[.]214[.]74[.]71/xian/pdf/nsip/merge/
66[.]228[.]32[.]31/whoami[.]php
66[.]228[.]32[.]31/usbccid/xian/nsip/merge/
Sender de Correos:
info@mondin[.]it
agil@clave2000[.]com[.]co
pedidos@acr[.]company
administracion@transportemostto[.]com[.]ar
tony@ckprint[.]com[.]hk
descansazul@descansazul[.]com
Asunto:
Servidor Smtp:
vsmtp-pro2[.]tin[.]it [212[.]216[.]176[.]150]
host-186-3-192-158[.]netlife[.]ec [186[.]3[.]192[.]158]
ns1[.]acr[.]company [91[.]142[.]215[.]14]