Genérico - Malware
2CMV24-00450Desde el CSIRT de Gobierno alertamos del descubrimiento de una nueva campaña de difusión de malware a través de email (malspam).
En el correo identificado, se adjunta un archivo en formato xla, con una falsa orden de compra. Cuando la víctima ejecuta el archivo adjunto, comienza el proceso de infección, el cual despliega el malware conocido como Agent Tesla.
Agent tesla es un malware que sustrae información confidencial y la envía a los atacantes. Este programa malicioso busca las credenciales que se almacenan en diferentes programas como los navegadores, clientes de correos electrónicos, clientes FTP/SCP, bases de datos, herramientas de administración remota, aplicaciones VPN y aplicaciones de mensajería instantánea. Además, es capaz de robar datos que se encuentren en el portapapeles, grabar las pulsaciones del teclado (keylogger) y realizar capturas de pantalla.
Agent tesla envía toda la información sustraída a los atacantes por medio de correo electrónico, en algunas modificaciones del malware también pueden transferir datos por medio de Telegram, Discord o subirlos a un sitio web o un servidor de FTP.
Indicadores de Compromiso
| Tipo | Valor | Comentario |
|---|---|---|
| IP:Puerto | 143. 95. 79. 226: 48575 | C2 |
| SHA256 | 4fb683b54680e47990aafcdffbec12fcf9ed6f4b5a02609dc79cb4ac1a223d8b | eraaaaaaaanew.vbs |
| SHA256 | 78d5d3cab432a0a71ca0895155e0d7e909edc256ce81d16d109e91e42780296b | 3ra fase.exe |
| SHA256 | 7d1a180a18af5266c0e996e4cb16556dcd9d421e7567853d10b3e83b24ac5525 | iloveyoudear.vbs |
| SHA256 | 9952330e3ecc4fe4aa3888e406499d44602d12c4ad029d75c4499a8edc4bfc83 | PROJETOAUTOMACAO.VB1.dll |
| SHA256 | c5f3007ae1d9b7804118e930eb0b1a494ba7905f74c325ebaaa7f6844833365f | new_image.jpg |
| SHA256 | d9e3a591c7151aeefe18a1d1c36ca895c7e91979ff491bfd7b629d4e5f4d1c89 | iwantthisgirlsleepwithmeforsucharealov eicanunderstandthewonderful_____lov etoseetheallthroughloverpoint.doc |
| SHA256 | e645209c1eb6e2bdb67197d8b8b4e72bcf12dcd76cc7008caf3dc11d80d60231 | PO-4500628950.xla |
| Dominio | ftp. elquijotebanquetes. com | C2 |
| URL | http: //23. 95. 60. 74/eraaaaaaaanew. vbs | Configuración malware |
| URL | http: //23. 95. 60. 74/iwantthisgirlsleepwithmeforsucharealoveicanunderstandthewonderful_____lovetoseetheallthroughloverpoint. doc | Descarga Archivo inicio segunda fase |
| URL | http: //23. 95. 60[. ]74/newwera. txt | |
| URL | http: //45. 74. 19. 84/xampp/bkp/vbs_novo_new_image. jpg | Imagen Base64 Segunda Fase |
| URL | https: //paste. ee/d/XAEVD | Configuración malware |
| URL | https: //uploaddeimagens. com. br/images/004/751/142/original/new_image. jpg?1709551130 | Imagen Base64 Segunda Fase |
| URL | http: //xeis. io/ZZMZ | Descarga de Archivo |
| MITRE ATT&CK | T1027 | Evasión de Defensa (Archivos o información ofuscados) |
| MITRE ATT&CK | T1059 | Ejecución (Intérprete de comandos y scripts) |
| MITRE ATT&CK | T1071. 001 | Comando y control (Protocolos web) |
| MITRE ATT&CK | T1071. 002 | Comando y control (Protocolo de Transferencia de Archivos) |
| MITRE ATT&CK | T1112 | Evasión de Defensa (Modificación del registro) |
| MITRE ATT&CK | T1114 | Colección (Colección de correos electrónicos) |
| MITRE ATT&CK | T1203 | Ejecución (Explotación para ejecución en cliente) |
| MITRE ATT&CK | T1518 | Descubrimiento (Descubrimiento de Software) |
| MITRE ATT&CK | T1552. 001 | Acceso a Credenciales (Credenciales en Archivos) |
| MITRE ATT&CK | T1555. 003 | Acceso a Credenciales (Credenciales desde navegadores web) |
| MITRE ATT&CK | T1564. 003 | Evasión de Defensa (Ventanas Ocultas) |
| MITRE ATT&CK | T1566. 002 | Acceso Inicial (Mediante Phishing) |
| URL | test. cl | url de test |
Evidencias
