Over 10 years we help companies reach their financial and branding goals. Engitech is a values-driven technology agency dedicated.

Gallery

Contacts

411 University St, Seattle, USA

engitech@oceanthemes.net

+1 -800-456-478-23

Ciberseguridad

En días recientes se ha logrado observar un aumento en la recepción de mensajes de spam y phishing en buzones de correo en México, lo que nos permite observar las técnicas de manipulación avanzadas asi como el incremento de mensajes personalizados a objetivos específicos.

Tal es el siguiente caso, donde un usuario recibe un correo invitándolo a modificar un contrato y a su vez comparte datos personales del objetivo:

De: “Sales” <jkuhic@ezelden.com.tr>
Para: “F********* M******” <f******.m******@i*****.**>
Enviados: Lunes, 27 de Septiembre 2021 10:57:34
Asunto: Re: MarketsResearch.Biz Sample Request.

Good day.

In view of some circumstances, I’d like you to modify the list recent agreement.

https://visitsrilanka.net/ea-recusandae/aut.zip

Name:F**** M****
Email:f***.m****@i******.**
Telephone:5255*******
Company:I******
Country:Mexico
Designation:Manager
Report:Global Personal Computer Security Market Size, Status and Forecast 2020-2026
Url:https://marketsresearch.biz/report/global-personal-computer-security-market-511069
Message:I would like to know the F-Secure ande ESET analisys
IP Address :189.146.2**.1*

Si observamos el listado de datos estos fueron referenciados a la URL marketsresearch.biz, posiblemente a algún registro antiguo del usuario a ese sitio.

El mensaje en el cuerpo incluye un enlace de descarga de un archivo zip:

aut.zip

El cual incluye un archivo de MS Excel:

recital-71472050.xls

El dominio de correo del remitente no se encuentra aún en listas negras aunque se observan errores básicos de configuración del mismo:

Algo interesante que menciona también en el mensaje es la invitación a analizar el archivo con el motor de F-Secure y ESET.

Entonces realizamos el análisis del archivo sospechoso en ambas aplicaciones antimalware sin obtener una detección sin ejecutar/abrir el archivo Excel.

Inmediatamente se realiza él envió de muestras a los laboratorios de ambos fabricantes para obtener un análisis detallado y validar la detección.

De acuerdo al análisis rápido en VirusTotal arrojo algunas detecciones, de otros fabricantes como detección Genérica.


La detección de otras marcas:
HEUR:Trojan.MSOffice.Generic 
Probably Heur.W97ShellB

Posteriormente F-Secure nos confirma la detección del archivo como malicioso:

From: F-Secure Customer Care

Our analysis indicates that the file you submitted is malicious and is already detected as Malware.W97M/YAV.Minerva with the latest updates.

Best regards,
Jennifer

Customer Protection | Tactical Defense Unit

F-Secure Corporation

Recomendaciones

Es importante señalar la importancia de analizar y verificar completamente los mensajes de correo entrantes en nuestras bandejas de email a fin de evitar cualquier robo de información o infección de malware en nuestros sistemas, mejorar las prácticas de seguridad de las empresas como el uso de contraseñas fuertes, instalar protección antimalware, protección de red perimetral (firewall), IPS, antispam activo y servicios de detección y respuesta avanzada de endpoint EDR. Por ultimo urgimos a los usuarios a mantener un control en medida de lo posible de las vulnerabilidades de sus sistemas internas y de red que pueden ser entrada a atacantes e infecciones, mientras menos vulnerabilidades y más protegidos estén nuestra infraestructura menor es el riesgo de sufrir eventos maliciosos.

Leave a comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *