hacking

Los malwares más activos durante la última semana de enero de 2019

febrero 5, 2019
¡Los cibercriminales no se toman vacaciones! Mientras en Chile todo funciona con más relajo, en el ciberespacio los malwares sigue haciendo de las suyas. ¿Cuáles fueron los más activos durante la última semana de enero?  Como es habitual, semanalmente les traemos la lista de malwares más activos durante la semana pasada junto a sus Indicadores de […]

¡Los cibercriminales no se toman vacaciones! Mientras en Chile todo funciona con más relajo, en el ciberespacio los malwares sigue haciendo de las suyas. ¿Cuáles fueron los más activos durante la última semana de enero? 

Como es habitual, semanalmente les traemos la lista de malwares más activos durante la semana pasada junto a sus Indicadores de Compromiso (IoC), a partir del reporte elaborado por Talos, el grupo de Inteligencia de Cisco.

Los IoC son una herramienta de Threat Hunting, o “Caza de Amenazas”. Éste es un proceso complejo, que involucra estar alerta de bastantes factores, pero los presentados acá pueden dar indicios de la presencia de algunos de estos malwares en sus computadores.

Los malwares más prevalentes de la semana entre el viernes 25 de enero y el viernes 1 de febrero fueron:

Win.Malware.Ircbot-6832631-0

Ircbot, también conocido como Eldorado, es un malware conocido por inyectarse en procesos, propagarse a medios extraíbles y obtener ejecución a través de archivos Autorun.inf.

Indicadores de compromiso

Claves del Registro

  • <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
    • Value Name: Microsoft Windows Manager

Mutexes

  • b5

Direcciones IP contactadas por el malware

  • 192[.]42[.]119[.]41

Nombres de Domino contactados por el malware

  • mokoaehaeihgiaheih[.]ru

Archivos o directorios creados por el malware

  • %SystemDrive%\autorun.inf
  • %AppData%\winmgr.txt
  • \_\DeviceConfigManager.exe
  • %SystemDrive%\DeviceConfigManager.vbs
  • %LocalAppData%\Temp\edakubnfgu
  • %LocalAppData%\Temp\gwhroqkhwu
  • %LocalAppData%\Temp\rgjqmvnkyr
  • %LocalAppData%\Temp\phqghumeay
  • %WinDir%\M-505079372036270397590263040\winmgr.exe
  • %LocalAppData%\Temp\akfbuwqisx.bat
  • %SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\plyfxhcodr.bat

Hashes

  • 0155016685ec96cc0d9e032e57da2b16052f06bd5ea8a5fb448744405d8d1ace
  • 023d3a287d1bde943a50ed487db4622072f402e49c0e9c08c832927b68d5cf40
  • 0a2780abfe422e7bf4fdd117d4b2610b4e0f439893040615e18989f2238b1a52
  • 18149c8dc18edef48582007a00d96ed443427305f7d8b416d9e324f0e265bc88
  • 194e2936fd8619b889830e9dea05e3d2cbba81ed4fcc6466cc60bdecaa468d6f
  • 1bdbb51379c9a251842b8d82dd09c9feb1ca122c69f35a3ce971233a26cff3bb
  • 204b9ddd234085b28443bc1962ccc2fc4751529972593619fd1f8416f5f46dd1
  • 22a200305586a9d023edbe62ce72ce33d5800537c28071ea2b2d1e1173a1e429
  • 3335e5f96b84ba3ba92acf70f868340875856a5fc4d9fbb20a1fb8783e2a4d5f
  • 355c1a0b0acab5c0f981338a00195aca24391e030bf2b5dc86d40b0a6be8d9db
  • 385d96319115bbb45d56433998e760c8e91fa3b18cdad9e13e7ff5aac8cd18fa
  • 3cdede79cbbb84a194e8cc8b7a4e773fb7ac7422dba189c97e182b60cf5dc3e9
  • 416c4f95ec6425c7e10dbbf76aad05555581ce2afcd463312196488108a19d49
  • 458b83abe7158987c36e9adc7b53302a9f2c3a32515187aab2ab8a94547416eb
  • 47ff491c3eaf993620053967094442d55a7171a7392b20be5887b6df47923bfe
  • 495f52061c57729619359397a0727a5ac7292b4f4460293f2e73b1b57b21ddf7
  • 4c7a2291c7d7bec4c0c6f4a88365de272558e3468fe8792530fb437a9505866c
  • 4da013c828fda6709236939355624832f6cd5a881ce74d0e8ef62cbbb80a14e7
  • 4e15c0dfd45c1389bd5a242a06b1f6811f3ef12964cbb5d842733543f3c37461
  • 4f94991e91530687b0edd128f5032b8f5b689a5bcd86e50bb02a6202f2546a06
  • 5c4f4750c1d7ccbd0f28e4e19a427f70aeef6914e039e07907175ec72f7b55ab
  • 6b6283f336de2e90aaba477e95806875a750cd4d320ff76032b674b0664048b3
  • 7ba9e9ce4e5a4e2e96f01e2ae5726ca7449893df71ba9395834486a003f9db20
  • 7eea4d9381e165b9200410d56b7d3e52dae2261147d259837ab88c5297c6c157
  • 88955e642b622659964daae8899209553f3f90abe4454e043d7cbe05a48b23ec

Win.Malware.Mikey-6832636-0

Este clúster se centra en el malware que puede lograr persistencia. Las muestras tienen trucos anti-análisis para hacerlo más difícil. Esta familia es conocida por tener arquitectura de complementos y por la intensa actividad de la red. Esta semana, Mikey fue visto entregando malware de robo de datos y credenciales, como Vidar y Lokibot.

Indicadores de compromiso

Mutexes

  • 3749282D282E1E80C56CAE5A

Direcciones IP contactadas por el malware

  • 199[.]79[.]62[.]18

Nombres de Domino contactados por el malware

  • www[.]britanniapharmaceutical[.]net

Archivos o directorios creados por el malware

  • %AppData%\D282E1\1E80C5.lck
  • %AppData%\D282E1
  • %AppData%\D1CC40\0F3583.hdb
  • %AppData%\D1CC40\0F3583.lck

Hashes

  • 04fc9b401a35a597d116a04ddf44b12d33089c695bb0dcfe4a23fd8f2b2f0fea
  • 153263c5ac6d33b6794f356351a2f87427962d872c1a80454d9ff954f361b63d
  • 1de3670adb0c402e6d617ccb069f9cefab146c05e52d4f9f3373848a0f8e0b51
  • 38edc6ba8a59e8313451f8a97e8be294f0712712e5df835ffda5d77cd30a9a23
  • 39ccb7bf5a25f6c14b2bf4eedc6e79a41c7a35fd7904345e4350b0e3a030de98
  • 3e7dd0a781a6f30f86d456356aead93f92c8e35b465fc8f376d74d889b83ac08
  • 585c2b64c11a2923a948ac4b3b8d91fe2b4b513fab1d24356dc25b78ee1b936f
  • 62ea6bd48c060eac41280d0cbf875548bebeddfc1bf433d147be9cf81a2481cd
  • 6cf5c02df365b6a056fb8aaa18777837ee2773bbf8ad02b898e915b1c0265eb7
  • 7dc2571db00def41d9ceb57d79203a692e2b1d498b1af7e82c98af7aea157778
  • 7e0dc31d89ab9984bcd87bacd436a88cafe4ed4c7a26f9c817e161970e01f97f
  • a64e51d88767f4a13ce80fd8dc5c7de19a3759a8a908ffbfd5dedaa862adcadf
  • bcd2bb9f0102fb0e8c32db81da0febb6c8da21ad34654cca9820be5b02fa069f
  • cbbcb3663fa758abe7028118fdfd5d18eecef043ac7f08f8b70874773ebf7004
  • feb81e6fc80e9338b19cde6f6ce58293c0db387ce50e5e457668b0ce580958ef

Win.Ransomware.Generickdz-6832954-0

Generickdz es a menudo un nombre de detección genérico para un troyano de Windows. Esta versión particular actúa como un ransomware y detecta malware en la familia Ursnif. Ursnif se usa para robar información confidencial de un servidor infectado y también puede actuar como un descargador de malware.

Indicadores de compromiso

Claves del Registro

  • <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNMu- Value Name: api-PQEC

Direcciones IP contactadas por el malware

  • 87[.]106[.]18[.]141
  • 72[.]52[.]91[.]14

Nombres de Domino contactados por el malware

  • groupcreatedt[.]at

Archivos o directorios creados por el malware

  • %AppData%\Microsoft\Dmlogpui
  • %AppData%\Microsoft\Dmlogpui\datat3hc.exe
  • %LocalAppData%\Temp\F74\7BA.bat

Hashes

  • 00da836f3848a2df7d8b9d6eb4c02bd5a03cc618aac562c2d6dd3b000d6aba75
  • 011c084738878e7bc038ed2f56cd820e072f54f1994fa0efb1d03805f3ec575d
  • 015dd851a0aee35e6e46c47ee65d8e814dff7988c8a999db760d0c5cf2f184de
  • 01beb8642155e53e609f923f8488b02d2761e5579a4b5bf5f988fd4aa50c1a56
  • 0b84d79be2f1135333aa13494a2df0d661e6aa8b500dfc23e436e0a99c8cd957
  • 12afbc7f9292813c600ed57da2a9705626c01f9ed4ca5bf5703b92045e9f3204
  • 21536e8026154ef4ab6d872aab046c413fb5da2909fac4d88d8a38bdc7d037d2
  • 36b3e5325ec7bc85a8bafc3ffb07854a1bb838fa729841e9e03c0e1901d4a813
  • 3daa666719e5430dba3f6a47e9a4a56899a06fe10502956d9ed2a51e40d24d86
  • 467ab756dc72eb56d4024f8c67afbb344178edff2c421750763b031ed9ab564d
  • 4cc1114ed779f88b626e6b07a51069a218885af13583398e013851ebd3892fcf
  • 4f0eaf1066c3760577d973b8b431ba44598364db1839e30657f72678f5d06e74
  • 52804b826910bed6b531fb32523de464206ce8114d3401e96e96d630508452db
  • 5405a79fb980bb79fc2a827439a941de486f4fbf4d380e8f488aef4111599572
  • 569043f311f56553c92984b02c03cb7108c8a2eac5b193e66fce65973245dcf1
  • 56bfb16f5287bf176196a0302dc14658fc3519a4c3cd666d2289be11d72830a3
  • 56fd6905f84e32018f96409810d62e21c7e423f905aa09b17b7f3aa2e228b42c
  • 5dacf2bf6b83d7cfb4bb90abf0c16ba2c05f04904eb7a3ecfb04ee2ada5d6154
  • 5fc956f1e8bb17ffb59b78a23795442e91fb843b9de86f34c849988e0f5c9a74
  • 66f7bede6d972cdd883a74643bf4e7e2e29e35680f74ba7736863276dd95d5dd
  • 6938484ee56153097948d56f62d2a7f9251295b3c52b171d3f8366564c1ff985
  • 6edbcdf33c2a6fb29360fc61fbbddf384fb974de8d4d1dc827b113fd1b6383aa
  • 6f9ffb03fcc68a30c4bd3326e39d598c8b4fbf4e2c7569e1aab032f48900415a
  • 70cf8a8f77b550ee351934ca3fd506b1c00522cb268a19a9a0fc2e2d266665a2
  • 7325117939e856c87d9cb980a90be1f876765b992eb743c3813d93efcc422923


Win.Malware.Nymaim-6832988-0

Nymaim es un malware que se puede usar para entregar ransomware y otras cargas útiles maliciosas. Utiliza un algoritmo de generación de dominios para generar dominios de comando y control (C2) potenciales para conectarse a payloads adicionales.

Indicadores de compromiso

Claves del Registro

  • <HKCU>\SOFTWARE\MICROSOFT\GOCFK
    • Value Name: mbijg
  • <HKCU>\SOFTWARE\MICROSOFT\KPQL
    • Value Name: efp

Nombres de Domino contactados por el malware

  • xxvtlrbo[.]com
  • zmupmfnkbmcp[.]pw
  • plmypyiga[.]net
  • fkpblrwoj[.]net
  • akzce[.]in
  • hxthmoalhozv[.]pw
  • vmafqojqbxo[.]in
  • uhizks[.]com

Archivos o directorios creados por el malware

  • %SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\fro.dfx
  • %SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\npsosm.pan
  • %SystemDrive%\Documents and Settings\All Users\pxs\dvf.evp
  • %SystemDrive%\Documents and Settings\All Users\pxs\pil.ohu
  • %AllUsersProfile%\ph
  • %AllUsersProfile%\ph\eqdw.dbc
  • %AllUsersProfile%\ph\fktiipx.ftf
  • %LocalAppData%\Temp\gocf.ksv
  • %LocalAppData%\Temp\kpqlnn.iuy

Hashes

  • 026587694b3c6c2b805ce3349f7de0188ae5eb64aec3fa4fb1d7941ed909bdf3
  • 02751abec497c2eabd985f8302af076e8389a07634fd1b50af4fd2007eeea2e6
  • 03f11327cc260cac961607d223b918c2a13eb1d2b9b38e01249ba5c0b3ba1ea6
  • 04f5aac7cc404319b34002b6052dfd884fdff7ebffd70488352be923bbaf5b5b
  • 052775d28aa2f225fdff6dca5ab26b94889fd1c36a1b87501f2c977f1264635a
  • 059c431655ba6c80881dbad93efcdb720bfe6a5580ae956074474cfd41b5c5cd
  • 08f9579ab7a73b489d74ce5889790d01a9875dbbeebfad1d8c32de163942bbb6
  • 09556303b704dd636a500f354fb8acf90ecbdb48a4588e98957efdfed3e07c92
  • 0a336eca0241a00a7236416172c4dc3d3c6e7e6c048f03e5252b583453fcc14f
  • 13257148820b602f9ea243c3ef0f0af3049396848702ce7c431a19bb3b92d078
  • 15887d922b368ae79c0a9cbfb151851151b5f7ac85e4c17cf33711daab12b7ed
  • 169ccd6fec92c295224a17c2454f5e8a10aca73d5b91b3347b79f97eac6cbd0f
  • 17d9a7c863966c8f8d06a3e874b50cdfb8d9f04617243a2c82b8a1917c2d1401
  • 1a3477bf67688bc79e975c197aad329ef8131b002cea06f29f41edc432915944
  • 1b570e1b58ed4f5f28370807f365fdab8da5ee11744dc0b0753a9ce643447776
  • 1d5b6e6cf7d911cacae10c2a4a3cec81988c55bebed8eff63b590fe65f987a44
  • 1f92f057a6c8e3e8ebe57a791be9fd0337cd4e18dbfaa6d70923428dead10f87
  • 21a0b26ff905b34dc3e648bc5a895d77198138048c97a44aa011a92bc1682d3c
  • 22c4afb82854338010a5d0359431b72226fc6f61219036c09a1b8226a2de233f
  • 23d9099b8596bb36fe8fd4f5e3e129a80d56f28bef0a169a3161c3cd1f917d73
  • 2744ffd5c3c6e9d1402c518cc7be298f385c94ef4cf586239190439a8ef1273e
  • 282805957430611b783bc1383c793bca96d2c9b9a01ad1cd959d6870d64f7510
  • 28839dea14fa732585347278b5e14bc0a5d741d645af8f3726efa52e747f37e6
  • 28dd921beecc08c8a4151646d7fabc16c494eb96deff2271a88da7e55db60cf3
  • 29cb7da2ab5e7431bb7227c7bffbc1bb35e47d3dd48d5f90de680d64ad3d17ac

Win.Malware.Razy-6836342-0

Razy es a menudo un nombre de detección genérico para un troyano de Windows. Recopilan información confidencial del host infectado, formatean y cifran los datos y los envían a un servidor C2.

Indicadores de compromiso

Claves del Registro

  • <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
    • Value Name: AGP Manager
  • <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
    • Value Name: Fremmanende

Direcciones IP contactadas por el malware

  • 185[.]244[.]30[.]121

Nombres de Domino contactados por el malware

  • irokko[.]ddns[.]net

Archivos o directorios creados por el malware

  • %AppData%\D19AB989-A35F-4710-83DF-7B2DB7EFE7C5\run.dat
  • %ProgramFiles% (x86)\AGP Manager\agpmgr.exe
  • %ProgramFiles%\SCSI Host\scsihost.exe
  • %LocalAppData%\Temp\Feodor3.exe
  • %TEMP%\Feodor3.exe

Hashes

  • 0478a5fe6b6f8426e7d4c974c793324e96f5c98ae2639e733bbf1a899109eab0
  • 11001e99cc3c630319a3e656affd9a4f99d6e415d9d11e5a19b38badbe2a6276
  • 19aa677502df6111edbea75aaa7da4c355b7ade7e2412b94df0f0153f3579a8e
  • 1dfd97941a2a7984c01fe705de5b2a509474717b2a59cd28e3565e827a9b27b6
  • 201699b6305f41121b0b38ac5514b2a18d6b44ac40361334343da2e949a368e7
  • 23ab227adc1b5ef3b49500b90b5414363436667ab2e1268206b098078ab74e35
  • 28d291b0699504ab6e5d551a00d16e90a9b5688af42a32c5dd1ad9229f3e5ea0
  • 5212cd679a3a0571a0a497d5953e1fd2e9eb0b0d64a09dc9d0ad928029065a03
  • 538774bed3fb08b2efb0f88b21092db3ddbc5563e503db019442029904c45533
  • 5d1179480e28c69afef5a78a1e1038de01c74482c0bec4030233f88ae5a9b6bd
  • 70fab993b38acc0f6a5d0a890a7ad432e977c32fa6068e004850b9094b632415
  • 8a11ba0d79dbbcfd9449c84132d3f4cb26abbac4d9856917e96687c32748d4de
  • ad3b893cf85eb2719e9c99dbc9a39c3aa6a56e6ecc1827f5b7023465708fcdc8
  • ae404720b381527be8150809b914c5da1038bc475d39ca647be7deca06440439
  • d5693ccd1dde37f10582f5df251b8a239ecc85ef29d78a9528c82779d85a7d62
  • e230deaf74421919f1277a6ebf52a7e77e124edab01366da5ff63e328a88f09b
  • fc96e1acc7e4bdf7786d64c3d997f47d233812641e431b829dc554743978d863

 

Txt.Dropper.Sload-6835718-0

El descargador dropper de Sload inicia PowerShell y recopila información sobre el sistema infectado. El PowerShell puede descargar el payload final u otro descargador.

Indicadores de compromiso

Direcciones IP contactadas por el malware

  • 92[.]63[.]197[.]153

Archivos o directorios creados por el malware

  • %LocalAppData%\TempTuH51.exe
  • %LocalAppData%\Temp\dsise5x0.zjp.ps1
  • %LocalAppData%\Temp\ovhjx4if.qdc.psm1

Hashes

  • 247820502a0bb4066958963420bced4ede844f758b580ef553b83d22d2de99e6
  • 52c5a6d4d5984a25e098c5b48939e2d4fed914323d36cfc1a593fa4f39d88785
  • 6706cebc801e8f5dcbfea387e5626ecdc918ad9df4b66f81d1705e160b48495d
  • 6ccf2fd74da92da68edcf710b0e5f0e7c9abc57b4ac108bdf45aedb690836a45
  • 725c0459b17e799b8ee52e50436aabdda767a6c4affbbff0a70c1cde97708b7b
  • b3198591f2f417712cc13c728bb516c890175483a76580e4ec30cd5bac77bd77
  • d01e11c3130dd60993d6157dd1105e0248efbb4f9bb47623d423b501780774d6
  • d673a40e2e3828f924af66a3cb1651a40e61689d58e5abcb86dabdfe8039da85
  • e71b83215799c2e312285afc4b7ee22dbe3c30615b68aefc2d4401ffb6d2ff74
  • f1acf589e8d7efdb1916c0e50f664a0511d3e61141ffb32f7fd8fa24f95f7ad8
  • ff30f70845268fea1287e2d484a4afcb6f4da3cc365b21136318213be765e58c
Indicadores de CompromisomalwareThreat hunting

Comparte este Artículo

Artículos relacionados

Noticias
¿Y dónde está el piloto? Airbus es víctima de un ataque informático
 5 de febrero de 2019

El 30 de enero, la empresa aeroespacial europea Airbus anunció que había sido víctima de una violación de la seguridad. Airbus reveló que se accedió a algunos datos personales, sin embargo, la mayor parte de la información era de contacto profesional y detalles de identificación de TI.
Noticias
Vulnerabilidad Zeroday para MacOS permite el robo de contraseñas de usuario
 7 de febrero de 2019

El investigador de seguridad alemán Linus Henze publicó hace unos días un video donde muestra esta vulnerabilidad zeroday que afecta a los sistemas operativos de Mac (desktops).