Análisis de Archivos adjuntos Maliciosos en mensajes de SPAM y envió de muestras
En días recientes se ha logrado observar un aumento en la recepción de mensajes de spam y phishing en buzones de correo en México, lo que nos permite observar las técnicas de manipulación avanzadas asi como el incremento de mensajes personalizados a objetivos específicos.
Tal es el siguiente caso, donde un usuario recibe un correo invitándolo a modificar un contrato y a su vez comparte datos personales del objetivo:
De: “Sales” <jkuhic@ezelden.com.tr>
Para: “F********* M******” <f******.m******@i*****.**>
Enviados: Lunes, 27 de Septiembre 2021 10:57:34
Asunto: Re: MarketsResearch.Biz Sample Request.
Good day.
In view of some circumstances, I’d like you to modify the list recent agreement.
https://visitsrilanka.net/ea-recusandae/aut.zip
| Name: | F**** M**** |
| Email: | f***.m****@i******.** |
| Telephone: | 5255******* |
| Company: | I****** |
| Country: | Mexico |
| Designation: | Manager |
| Report: | Global Personal Computer Security Market Size, Status and Forecast 2020-2026 |
| Url: | https://marketsresearch.biz/report/global-personal-computer-security-market-511069 |
| Message: | I would like to know the F-Secure ande ESET analisys |
| IP Address : | 189.146.2**.1* |
Si observamos el listado de datos estos fueron referenciados a la URL marketsresearch.biz, posiblemente a algún registro antiguo del usuario a ese sitio.
El mensaje en el cuerpo incluye un enlace de descarga de un archivo zip:
aut.zip
El cual incluye un archivo de MS Excel:
recital-71472050.xls
El dominio de correo del remitente no se encuentra aún en listas negras aunque se observan errores básicos de configuración del mismo:
Algo interesante que menciona también en el mensaje es la invitación a analizar el archivo con el motor de F-Secure y ESET.
Entonces realizamos el análisis del archivo sospechoso en ambas aplicaciones antimalware sin obtener una detección sin ejecutar/abrir el archivo Excel.
Inmediatamente se realiza él envió de muestras a los laboratorios de ambos fabricantes para obtener un análisis detallado y validar la detección.
De acuerdo al análisis rápido en VirusTotal arrojo algunas detecciones, de otros fabricantes como detección Genérica.
La detección de otras marcas:
HEUR:Trojan.MSOffice.Generic
Probably Heur.W97ShellB
Posteriormente F-Secure nos confirma la detección del archivo como malicioso:
From: F-Secure Customer Care
Our analysis indicates that the file you submitted is malicious and is already detected as Malware.W97M/YAV.Minerva with the latest updates.
Best regards,
Jennifer
Customer Protection | Tactical Defense Unit
F-Secure Corporation
Recomendaciones
Es importante señalar la importancia de analizar y verificar completamente los mensajes de correo entrantes en nuestras bandejas de email a fin de evitar cualquier robo de información o infección de malware en nuestros sistemas, mejorar las prácticas de seguridad de las empresas como el uso de contraseñas fuertes, instalar protección antimalware, protección de red perimetral (firewall), IPS, antispam activo y servicios de detección y respuesta avanzada de endpoint EDR. Por ultimo urgimos a los usuarios a mantener un control en medida de lo posible de las vulnerabilidades de sus sistemas internas y de red que pueden ser entrada a atacantes e infecciones, mientras menos vulnerabilidades y más protegidos estén nuestra infraestructura menor es el riesgo de sufrir eventos maliciosos.
