La empresa de seguridad informática Talos suele realizar un estudio sobre las amenazas informáticas más prevalentes de cada semana. La semana del 9 al 16 de noviembre destacó en Chile por un importante ataque de Emotet a la banca, pero en el mundo las tendencias observadas no se limitaron sólo a este malware.
Si bien esta lista no pretende ser un análisis en profundidad, resume las amenazas que se han observado al resaltar los comportamientos clave, los indicadores de compromiso y los protectores automatizados puestos en funcionamiento por Talos.
Hay que recordar que el proceso de Threathunting o “caza de vulenrabilidades” es un proceso complejo que debe analizar varios factores presentados. Bajo este contexto, los indicadores de compromiso presentados a continuación deben ser ponderados en el contexto que se presenten. Hallar presente sólo uno de los indicadores de compromiso expuestos no asegura la presencia de las amenazas, pero sí da indicios para continuar investigando. Las amenazas más comunes de la semana pasada a continuación.
Win.Ransomware.Gandcrab-6748603-0
Gandcrab es un ransomware que cifra documentos, fotos, bases de datos y otros archivos importantes utilizando la extensión de archivo «.GDCB», «.CRAB» o «.KRAB». Se propaga a través de campañas de spam tradicionales, así como de múltiples kits de explotación, incluidos Rig y Grandsoft.
Indicadores de compromiso
Mutexes
- Global\pc_group=WORKGROUP&ransom_id=4a6a799098b68e3c
- \BaseNamedObjects\Global\pc_group=WORKGROUP&ransom_id=ab8e4b3e3c28b0e4
- Global\7bf1bf81-e78a-11e8-a007-00501e3ae7b5
Direcciones IP contactadas por el malware
– 66[.]171[.]248[.]178
Nombres de dominio contactados por el malware
– ipv4bot[.]whatismyipaddress[.]com
Archivos o directorios creados
- %AllUsersProfile\Microsoft\Crypto\RSA\S-1-5-18\6d14e4b1d8ca773bab785d1be032546 e_d19ab989-a35f-4710-83df-7b2db7efe7c5
- – %AppData%\Microsoft\umitoa.exe
- – %AppData%\Microsoft\hhbbvc.exe
- – \Win32Pipes.000006c8.00000045
- – \Win32Pipes.000006c8.00000047
- – \Win32Pipes.000006c8.00000049
Hashes
- – 008e2453c3bba10629ae8f7f32c6377d91bd17326da52295f038d7badd53cf4f
- – 00f07cc799aabac7449a324ff47161a6a34ad02ba4b2074ddb382152d383ed14
- – 02edf037074ebd2445625737108f7337715a6af17ec161429fa0392894e479bd
- – 04196939eee8a21a4480a5e5bcf34f70b20f1dad9c3038bc632a415130ac47e8
- 043f30bd958e54d6947631c10d70ddec772ababd8a3852ceb0e646e87d670a92
- – 051f4d57fc51e1491eb9121cb6ecdd036e140103f1afbc73fe9cef9a4fd67a84
- – 06cafb061ce341647e48d4113eb71bed76290d30d54ce6d98169fcfe8bbe83c5
- – 0799d33c49bceeeeb9c92077d448d5823ab8e71a04b71c6b8afa7f386fb5aa92
- – 08d56fc6c0622c2e931f04eb8c68a25fa431ac4833b1cbd7e44847d55f7f26e1
- 09abf839c42200b000d3065d2cda41d858be415a521a5cb2b77b6e62503ae460
- – 0a48f61677791bca8d2553662ec6bce8acfdb3249cfcabac2802ba216ac54262
- 0acc350e791e4201a7dd17e389ba8e03264343020432389d3e1b9d08874005af
- 0b3e086550e4baaa05c69777d484b9b20773b01d5c6da124197eff423b798b04
- – 0dd771fecae00517f9297e21a42956d2ee113f6f0bc4d3ee277f887721efc19a
- – 0f2784bc6fb959eace7e44fd19fd08fbfa39af04b4f793241c3eddd4183dbe71
- – 0f50d6433d2a79f30c2417fc434098d029eceedf3acd405901d3951208be2ae7
- – 10b5897f820d7ae3fe0194b8969c42c5c5de6cc658baf95699f8a781e18237ff
- – 130f32c65f3f2e67bdc228f125bc07c049f40fae04114b0de920e9fd0b00bccf
- – 13ab0a6dcd3cfd5136b54d11739169917df37a5681189baf92c4c6b0a2df0bc9
- – 13ccda5af78a1dea028d076418db880ab3734c745f068d2c4df5de4d4968b478
- 14094b6a6ba1af401829963ce991e02c0eb9da885eb3837cec88f1559e2007c6
- 166627c9ad4fb0acb0bec8e09e1d4ceedc3110e7cdbaa709322d0dbe41a2f70f
- 17b78d2828794c9612cc87b09b7254c32c810134e5d06742058c55ec55ddb746
- 19b4d752b0be5e81c835bd3b87f3c1124c208ba6adb2150f7b85a1b76222350f
- 1ac89466a2668afd8d06d0f9345d48151dc2978b81985070bb23e30a767bd71c
Win.Virus.Parite-6748128-0
Parite es un virus infector de archivos polimórficos. Infecta archivos ejecutables en la máquina local y en las unidades de red.
Indicadores de compromiso
Archivos o directorios creados
- – %AppData%\Wplugin.dll
- – %WinDir%\Wplugin.dll
- – %SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\yma1.tmp
- – %LocalAppData%\Temp\neb2886.tmp
Hashes
- – 00ad96301d29476dba58c071ef5bc4cf5eb265e9181a1d866bcacfe847199f64
- 01edcc04020177e2f31b13d9f6a46db2e058028011151850b0802394ccda8d77
- 05f816442e9d1d18a80233674af70d0ce6e17d10768d8f0e77973566b07aba8e
- – 0e70c57c577078b1c9cab7d6bd1215372330548ae0c20ff2b80f0cb86cde2074
- – 115995a5dc32df9da2f214cf9f4f81341daf7bc101c1b9346bead99428acb15e
- – 145c7866de76f33e571f19a1a40c2e12c900a6a1ad9bac30b46dcdc28be6feec
- – 14ac990a0affb831e4dccee45cff19e8a7c28dc5b93f731131ffa1c319e43823
- – 15c7b9a2c4688af296b57ac418f01347c8fbbd74ac5fbcae17c90f9bcdfb8e26
- 16ee4360c7d1b78da48d06889177668120dfcaf62745bbc8c88d7864d28ba43d
- 1817a467dba009e325a1c8bbaa5c274ec80856f8936321980fee86a0e33a34cd
- – 181dd25663e2628e56410e65b57677f5f3346866ccb737aa2eab8dd7376a11af
- – 1c8698e1bd9fa33f8f664a0a12e90db53e91e31414cd307c21575a5d039b0d32
- – 1eece81891ab4f4836931f8b1bc630e044d08ed659797dc19afc3bebd3b2b259
- 1fa3b372ec521a5b57a52d8b6a5ec8de67f5d8f80e87835b67b4916d4e5dd415
- – 29f37223352f9584de101958ce00b41c3c66d9cfb15cc27d22a67df2c9dcd53e
- – 2aea31075160d93b13bb726dc95b2a46505deefa529f8c9edfd9f6ecd8d80a37
- – 300655178fabae5c65e48307fef7de67100b7d866b118f1ca0f0919de7e3a490
- – 35270fa68190eba46f59bba10c8dce3a03e55d8af7e8a33f9a330e077f63aeff
- – 39cb46a92889429d3dfc422381b46d04f9e69af0a088eec656845f184ed0b8f2
- – 3b6a4dbf9a923ac935f6f671b38de0ed83da428b74dea48efa180365a507e13f
- – 452ce18b59c1ab0cb4925435edf60edcfc5114cdea15056702e69c45af5763a2
- – 4e38b473973bce00cf5f60b545327db9c9e8b17225262e88d13299f6abf579f2
- – 51a323f3b47edc969017af5b31d364d4f23574471a52511970aaf54a8c34c382
- – 51bbe9d3ae4bd23f31fd90ddf0d8af295ca98773653a16c2bb5a950670352888
- – 525bc89d56339ce9423aae276228a8b879d7156ecadff7054a397a8d5178f5f0
Win.Malware.Dijo-6748031-0
Win.Malware.DIJO, también conocido como Ursnif, es un malware que se usa para robar información confidencial de un servidor infectado y también puede actuar como un descargador de malware. Por lo general, se propaga a través de correos electrónicos maliciosos o kits de explotación.
Indicadores de compromiso
Direcciones IP contactadas por el malware
- – 95[.]181[.]198[.]115
- – 192[.]162[.]244[.]171
Nombres de dominio contactados por el malware
- – resolver1[.]opendns[.]com
- – 222[.]222[.]67[.]208[.]in-addr[.]arpa
- – myip[.]opendns[.]com
- – www[.]bing[.]com
- – hq92lmdlcdnandwuq[.]com
- – cyanteread[.]com
- – tmencedfur[.]com
Archivos o directorios creados
- – %LocalAppData%\Temp\RESB9BE.tmp
- – %LocalAppData%\Temp\CSCE580781F303F45AE9F8858B262C2D7E7.TMP
- – %LocalAppData%\Temp\9DF6.bin
- – %LocalAppData%\Temp\CB8E.bin
- – %LocalAppData%\Temp\3F14.bi1
- – %LocalAppData%\Temp\RESBCAB.tmp
- – %LocalAppData%\Temp\CSC8B3FB8E53BAD4C5CA67A2B1CAEA0ABB3.TMP
- – %LocalAppData%\Temp\5mq30dkw.2sp.psm1
- – %LocalAppData%\Temp\jrz15mzo.uwv.ps1
- – %LocalAppData%\Temp\lajoenvy.0.cs
- – %LocalAppData%\Temp\lajoenvy.cmdline
- – %LocalAppData%\Temp\lajoenvy.dll
- – %LocalAppData%\Temp\lajoenvy.err
- – %LocalAppData%\Temp\lajoenvy.out
- – %LocalAppData%\Temp\lajoenvy.tmp
Hashes
- 0024d14e96fc79b1f7fd052945424e685843a48b1124f2b19b3a0b00570fb716
- 004a4d3772f1253ed309ce48cdefb8358c7500b91b7fc1a548dd32af03f8178d
- 00f9d43bdeb5c30acc9e5594c0ff1bd29b52efdcaa63bb8eba745342c165f856
- 0169eb0d2386671d1929cf74456a32da1758d8c177b4dadbb5c1998768eee892
- 016ef438660d7acbe94a229f0680b154bb963bc9dbc56eed7450dab36d486c01
- 01aa3a5ab9590ff079a13d66f67d40b441ab171d2a6ead0df5453b2d3b55888d
- 01e4c31f4836784dc4d297c4ba6e8f680216693735339022e11669960b929dcc
- 020c8eff9905e60c6bba7ff500dd0097b0b3017cfa33712a74ff23062c539520
- 0326d68f08fc899cd8bb7f1a9c1d7df50bc5b979e0f7d2532904a419ab1b7160
- 033370dfd1d35bc66ed5abf0e6f6ff214c9e1e25196fef04679f18875b0b683c
- 0383644a89640bbccf401520a918b54920f038e04ec0b0ae0d5aa53c45c08705
- 03d315458bfc34d01d2e058b6aa772c7fcd294f3dbcd821f71249675da00d94e
- 03df086184a6b1b146858ea3cef951dc9c3bf6148a26740a74e2384f5cc4a256
- 03e17ccdc6dfa104759f6d08c38a1ee96fd9cb161600fb5446b61132e4d9bd3d
- 04abd09ae808338d64a59fedb49dd5af79599cb9e990c2eab869d1afb25285a1
- 04ef397e7e52f4c71553f5eb2d4bc1971d2eda8a54eafa5a23aae4700264688d
- 05a5bbabbab5444214ce70c1190f41ccef8ef3dee786d1821d26a396d8a49eb5
- 07b911ca945371e153a661cc0d3dc04a41e75075b184eeba26a82c6a945a82e2
- 0879b668fbfac129d1c21076fc5826d46323398a3bcd327e4012be584778a446
- 095114cf4e2a81c44821a1ad9d4ea632e8cf17cf35a5cabc65813a29bcc41157
- 0a088fe8df26a9a2cd4330224134e1ea0d249300cbce0eaf11fc6f70b75f21f1
- 0ad6e9f9cd8e64c8ec265d258407f627fb1a872d13bd9cb577ad5e100633f492
- 0b438e78bb3fe8bffc8f5f1453f318efe177c97d9e4f0ba7e26969a60671a67e
- 0b4d5c0751ead190373484f7b4d8f0d7e5de5ade613b888712b92947fc173a6a
- 0d1b953aa006b38c0140f3a2bacda47a28262d54d5676aeeaf432235e356a5bd
Win.Malware.Vobfus-6747720-0
Vobfus es un gusano que se copia a sí mismo en unidades externas e intenta obtener la ejecución automática de código a través de archivos autorun.inf. Este malware también modifica el registro para que se ejecute cuando se inicie el sistema. Una vez instalado, intenta descargar malware de seguimiento desde sus servidores de comando y control.
Indicadores de compromiso
Claves del Registro
- – <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
- Value Name: muehe
Mutexes
- – \BaseNamedObjects\A
- – A
Nombres de dominio contactados por el malware
- – ns1[.]chopsuwey[.]org
- – ns1[.]chopsuwey[.]biz
- – ns1[.]chopsuwey[.]info
- – ns1[.]chopsuwey[.]com
- – ns1[.]chopsuwey[.]net
Archivos o directorios creados
- – \??\E:\autorun.inf
- – \autorun.inf
- – \??\E:\System Volume Information.exe
- – \System Volume Information.exe
- – \$RECYCLE.BIN.exe
- – \??\E:\$RECYCLE.BIN.exe
- – \Secret.exe
- – \??\E:\Passwords.exe
- – \??\E:\Porn.exe
- – \??\E:\Secret.exe
- – \??\E:\Sexy.exe
- – \??\E:\x.mpeg
- – \Passwords.exe
- – \Porn.exe
- – \Sexy.exe
- – %SystemDrive%\Documents and Settings\Administrator\sauuyi.exe
- – %UserProfile%\muehe.exe
- – \??\E:\RCXFF.tmp
- – \??\E:\muehe.exe
- – \RCXFBD0.tmp
- – \RCXFF.tmp
- – \muehe.exe
Hashes
- 010054eb95e98fdfea1f1164b12a5dcf475f0ffcc16dc18c276553d4bce3e39c
- 01cdf16c052bd4d6e8f50d0447f0570b6e42727cbb3dcebed6e20766a0599854
- 02785ab8fe2473f20ea32dad5908f6b8831d603c26db26e67e8b3d1daefd4544
- 0293926921291e6700eddb633fe22ac136735ace9170e6c502be52039d3e7488
- 02f72dfcc27501cd1a44b3a0eed9e41831f745fc26d6b7d1526c151c94d58333
- 0572a5a7f2888736e647fccbd2d4ed051bb038b82d3d53fb899dcde836922fc2
- 0581546a844cf13d0f0c494c9cda7eb7a71a5dbea4abbd8ddb917fe00665965b
- 06383e4b2c2a596732f85ce8028c5b1c0a60c82e75bbb75358bcd8498b6b4b03
- 080d08b5202a6da7052a3256c1863db41121881d75188ad96b9af9ab5932a97e
- 08293e6522e8888ce18400e0c3d6e6ac1319e80bd99ffd24b8e7845fca091cf5
- 08c0cc2e37a1fbc8f84c932a7cb2bc9a3d3f78a4ce086c1286cb3d335619f9ff
- 0b2752012a9e104641af14d60987db12a41d39401ac46584b6e9125ed5d0c198
- 0bcd28d3d84c7518df94abbb5a8153a345121d1d126fc9dc4624259de02a41ab
- 0c45087137456380ec673b12d06310d8d753be92a3009bcec94ec4ebc2140bb7
- 0ceecae1d802f19881b04e6f97af98b5039f2b8ccd538c293d66de93d8d77964
- 0d9a84172a0f96b340eb3f6bd45ca30dbe6c20180f9dae75cb135d0d8b6ffa38
- 0db0feea81c1b211fbae852151734fca8fb423102cb953dafb3c188f40491482
- 0ea8e078ab8b42d97148b488fb1ad7d21972c37fdac7befc7d462ee7be3acb84
- 0feb943bda713bb872c82a94bceb10acd11a1ec0cd2997236dc17da24b646288
- 121a6b3a8000948f073e3660ecafb19bf5d204a9d468112575afd15c39222eb1
- 12fc93e4e1c01ce7e3670138d50aa26e5c3d77f3c42da0dc3bd7bbae57359dc4
- 133fea888e19e34c7703b38194ec08360ce8d697d7aec79da979a35072adce02
- 145fe07226fb8eb92f609f16f7044ae5a529433730d285ca7c33b9cff6b86b71
- 1551de875bb37b13c332d5b67ed64026c477f21bbcc6ad3d50ba8b3b8702ee5f
- 18ee7ed2c61ee532f9a42d02c3c53b017496071608324361117514bdd3fdcade
Win.Downloader.Upatre-6746951-0
Upatre es un descargador o downloader malicioso que a menudo utilizan los kits de explotación y las campañas de phishing. Upatre descarga y ejecuta ejecutables maliciosos, como malware bancario.
Indicadores de Compromiso
Direcciones IP contactadas por el malware
- – 195[.]38[.]137[.]100
Nombres de dominio contactados por el malware
- – drippingstrawberry[.]com
Archivos o directorios creados
- – %SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ffengh.exe
- – %SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\hfsrfgs.exe
- – %LocalAppData%\Temp\ffengh.exe
- – hfsrfgs.exe
Hashes
- – 1b806d44ead6688b22e623a1d50ad910af73b6ebe274901cccff8aabd526e3dd
- – 1df5a1477102ad9d32a976eea0af04b7c63a660fefc39a8c2c524e8cfa9634e3
- – 2e09c458bc34495f4390b2783d17369a2f809860eb95b95ff914c6610fd42ab0
- – 56db7b1dd0bcbeca631eee556146fb599fc363466f51ec01eae28ecd4289e838
- – 61e96310f388db546db48b6b8d81958264647add9f7cc880067cd6f875b5b4f9
- 64c1bb68e91d30812c0ea2690a4bb15d2788b43ec6c54aa9672de758ee7e5042
- – 71dfc74d26d696f74b65c03c93a9118b9c62e5adfb6c93a5e15d00dcb50d585f
- 7a305e442718a07f2ddcc7ae9a8983c49be3247c123b06dabcf7d48d3a4bdcde
- – 7da8dd2d31ad4ed61c87b5f44e1d70bcb938d9c5ff9abbc94c8e76cf0b10f379
- – 87071c84cff348e086cb28fcfeec54daf58d728c5fb3aaa26ff4aca42fab4b4f
- – 99230cc2ba171d71a9c5bade432d53bbf1ea78be629f62b90bb73fd71a26e8a4
- – af44d4fff8ce394f9ecb9b3f9d95b8fb440a7b8f1892574f41355072ec2f0999
- – bcdfdc97d2a6f3769902d3bf55b180b4dd9efc74af345cf23a795dbdc9456b51
- – c224d27d7adf2fece2e92d4ed2f62e244e8e5bcaa98c89ade06d40b0112e6bd1
- – d7afe736ed75987b854236b451a4cb6f0642b4e9cc92f3a9a96e2b8535070d05
- – d9d107fed85d142d6a5cb4d40a48b3ddf5c61f97bc502a297f816ac902fa13a6
- – e4eddc3910aca83db9bef4bc4f11006c0ae09a1552a6266adac79dc922ffe90a
- – e6c03bfb271c97063320d079b7ed156b8eae18c75ccf5c25d5ae5cc01df62139
- – f41388706c803a31645f416804995ad881d8ee0e0de0f0c355fb87fc415de211
- – fb75875cdf989e58a80330aa43543b9ab3765fde077174729e2011555cd295d9
Win.Malware.Emotet-6745295-0
Emotet es un troyano bancario que se ha mantenido relevante debido a su continua evolución para eludir los productos antivirus. Este malware se propaga comúnmente a través de correos electrónicos maliciosos.
Indicadores de Compromiso
Claves de REgistro
- – <HKLM>\SYSTEM\CONTROLSET001\SERVICES\GENRALNLA
- Value Name: ObjectName
Mutexes
- – Global\I98B68E3C
- – Global\M98B68E3C
- – PEM19C
- – PEM52C
- – PEM748
- – PEM43C
- – PEM20C
Direcciones IP contactadas por el malware
- – 187[.]162[.]64[.]157
- – 98[.]144[.]2[.]113
- – 200[.]71[.]62[.]76
- – 82[.]211[.]30[.]202
- – 165[.]255[.]91[.]69
- – 154[.]0[.]171[.]246
- – 110[.]142[.]247[.]110
- – 119[.]59[.]124[.]163
- – 108[.]51[.]20[.]17
- – 197[.]249[.]165[.]27
- – 96[.]242[.]234[.]105
- – 217[.]91[.]43[.]150
- – 66[.]220[.]110[.]56
- – 72[.]67[.]198[.]45
- – 183[.]88[.]1[.]238
Hashes
- – 0edecb893280c8258b5ee20f17afdbdcd09efdec198ba3f0b9dae3bb3a74c497
- – 11fb93e3b137ff6978fd79fdd634f44f257ee28f9bc5c2965108cb5c49a0d949
- – 313f19bdb8c46b96ac18bca55f53f5c0eb03d2fcececaab47b9339d8f014f7c7
- 40651a1759d2ae614541d3f6e8bb6298ab72a242673c44e541dc28e30ca8929f
- – 5df55f78a21cd8457c9432afc8da45c182fad6107e3b6e4f5cf86272b68012b1
- – 70921b45506097595f7d11123c1b5c92aa032332c8a503058b27f32ec85d8df2
- – 73689ce1d669a63bdc781fab63f052fdc22021f7d08d37ed7573d2da7230568e
- – 83b316b9a9f76efcab1e741c8eeb7a0c7a50072c3fde5acd49cb0d28afbe7a23
- – 9edeb5b8ba0b6fd036650f80edf1cdd3c35974fcb8ef5a272b658d3ec1a38035
- – b53fb3cf4ed1d4e62dd0cc9d8e1d482dc1a55dedc3804a097f1b213080bb64c5
- dab7877de92a3793873fec30c4b2e4a758bd5c3c6a67c8da20bfce7c255031be
- – ea8479d471d38105312f8264f2d93c7dd317d1bfda94f345f74313efffe8fb54
- – eba4704ea3e2a37a2bef98101758cbd2264bf6dcfe36eb930fe36fa32d75838a
- f2a2d0eda6e21c4273d07aafe190918d96c21db335de4c4872e1eca136920c6b
- – fba4b9baf4b72790f1ff9ad58160efd7bd4a1927191668da75468255083e48b9
- – fc5935b12a8d07abcafc613a04d3c6773e088f31b88f78acc7f8ee2d2fc2d529
Debe estar conectado para enviar un comentario.