Alerta – Agente troyano para infección de ransomware adjunto en spam
En este comienzo de año 2022, se ha detectado un incremento en la recepción de mensajes de
correo SPAM, los cuales incluyen mensajes personalizados y mejor estructurados para confundir a
los usuarios, por lo que el riesgo de robo de información y/o infección incrementa si los usuarios no
son precavidos y confían en estos mensajes.
Recientemente el Laboratorio de Análisis de Malware de IMAGEN TI realizo un análisis de
infección de Malware adjunto en un mensaje de correo apócrifo, el cual invita a descargar y
ejecutar un falso archivo PDF troyano.
El mensaje es enviado por el remitente:
De: “María” <cey.hay@congerlamb.com>
Para: victima
Enviados: Miércoles, 2 de Febrero 2022 9:49:11
Asunto: Comprobante de remesa SOA por USD $ 44,720.12
Buen día señor,
Disculpe el retraso en la liquidación de nuestra SOA, nos complace informarle que T/T ha
remitido una suma de USD $44.720,12 a su cuenta bancaria esta mañana para la liquidación de
la SOA de enero.
Acuse recibo del comprobante de pago adjunto y envíelo a su departamento de cuentas para
actualizar sus registros.
Atentamente
María
Archivo Adjunto: Comprobante de remesa
SOA_pdf________________________________________________________.gz
A su vez el archivo comprimido GZ incluye un archivo EXE:
Comprobante de remesa
SOA_pdf________________________________________________________.exe
Si observamos los detalles del archivo ejecutable se muestra el nombre real del objeto:
Chsbw.exe.
Este a su vez al ser un Agente Troyano se puede utilizar para la descarga e infección de
ransomware
Observamos la ejecución de un Framework y lectura de la tabla de particiones
En análisis con F-Secure Elements EDR se observa el siguiente árbol de procesos con detección
de evento: Ejecución Anormal Del Proceso de riesgo bajo ya que la infección no logro finalizar.
En nuestro análisis del troyano, no se observa la descarga del archivo de infección por lo que no
finaliza la infección.
Observamos en el análisis de Virustotal, que 24 fabricantes tienen muestra liberada de esta
variante:
De igual forma se cuenta con datos de la variante:
RULE: SUSP_PE_Discord_Attachment_Oct21_1
RULE_SET: Livehunt – Suspicious5 Indicators
RULE_TYPE: Community
RULE_LINK: https://valhalla.nextron-
systems.com/info/rule/SUSP_PE_Discord_Attachment_Oct21_1
DESCRIPTION: Detects suspicious executable with reference to a Discord attachment (often used
for malware hosting on a legitimate FQDN)
Para mas detalles :
https://www.virustotal.com/gui/file/0178dd5cc4965ab44e69e4ce24eac227d68549bdf737ee51d170b
b17dc2c200d/behavior
RECOMENDACIONES
Los servidores de correo comúnmente incluyen al menos un sistema antispam básico que
detectara y etiquetara los mensajes sospechosos sin embargo los ataques por correo electrónico
cada vez son más avanzados y la suplantación de servicios reales dificulta su detección, por lo
que se recomienda la implementación de un filtrado especializado de mail, un servicio antispam
dedicado, así como la utilización de soluciones antimalware con módulos de detección avanzada
por comportamiento y sandboxing, las cuales nos permitirán mejores resultados en la detección y
bloqueo de este tipo de archivos troyanos.