hacking, Noticias

Los malwares más prevalentes de la cuarta semana de enero de 2019

enero 29, 2019
Como es de costumbre, revisamos el reporte semanal otorgado por el grupo de investigación e inteligencia de Cisco, Talos, con los malwares más prevalentes de la semana. En esta ocasión, analizamos la semana desde el 18 al 25 de enero de 2019.  En este reporte incluimos una pequeña descripción de los malwares junto a algunos […]

Como es de costumbre, revisamos el reporte semanal otorgado por el grupo de investigación e inteligencia de Cisco, Talos, con los malwares más prevalentes de la semana. En esta ocasión, analizamos la semana desde el 18 al 25 de enero de 2019. 

Web threat

En este reporte incluimos una pequeña descripción de los malwares junto a algunos de sus Indicadores de Compromiso (IoC). Es importante destacar que el proceso de Threat Hunting o caza de vulnerabilidades es complejo y se deben tener en cuenta varios factores. La sola presencia de un IoC no bastará para asegurar la presencia del malware descrito, pero haciendo una combinación de estos hallazgos, podemos llegar a conclusiones más completas y certeras.
Happy Hunting! Los malwares más prevalentes de la semana fueron:

Emotet

Doc.Downloader.Emotet-6826494-0
Emotet es un troyano bancario, descargador o downloader, que se ha mantenido activo hace bastante tiempo. Sigue siendo relevante debido a su continua evolución para eludir los productos antivirus.

Indicadores de compromiso

Direcciones IP contactadas por el malware

  • 52[.]31[.]99[.]185
  • 47[.]52[.]19[.]221
  • 91[.]209[.]78[.]110
  • 46[.]30[.]213[.]132

Nombres de Domino contactados por el malware

  • www[.]seine-et-marne[.]fr
  • TLEXTREME[.]COM
  • vanherreweghen[.]be
  • www[.]tzen2[.]com
  • www[.]addthis[.]com
  • www[.]iledefrance[.]fr
  • www[.]stif[.]info
  • www[.]camenisch-software[.]ch
  • tlextreme[.]com
  • sh2017[.]chancemkt[.]com

Archivos o directorios creados por el malware

  • %LocalAppData%\Temp\736.exe
  • %LocalAppData%\Temp\j02khkb2.lmy.ps1
  • %LocalAppData%\Temp\q30h0dfn.q03.psm1
  • %LocalAppData%\Temp\CVR8B7E.tmp

Hashes

  • 02961b9b1846411364a0c00b6546aeaceec7e7156a89662ae81a2223c9a612ca
  • 0acd52e7f92f125d8fec5d78db296ee3c88079456dfb66b84fa92be944dc1293
  • 11d52b1ee5c330911ed98ba86a4560c67cba2bd70427c8d33a0b793ddeb5c11e
  • 16ef10e1f741ca1cb22b657dda69b7d15e6c016a667602fb8fe825b5846eb4b5
  • 175b20d5f2079f86b1fe4ef91d5a84ce3fb71939b3c8297e4de6587875dca6d5
  • 18c74f2852985acd6a5b35d21d12e8e852d54003b4e5d3714243e045969c434f
  • 1a4dc5022a6b5296fe5d03597782a985bd721e3651b010c06b9be205b5c9f97d
  • 1c7813fcdec02ae9bf9bb816d87f66eca49cffa1df2de22aac19d2b365e59df2
  • 1f5e9f1c173cc8611a5d34e801c0a26ce7365cb1c7b660bcd88816153b76d467
  • 2210bb4262bd6f02c2c1b836ea7372c28b35f7e31d81dcf4749fbd4fe71676fb
  • 22b521f4fad5c39e0d84729f3e194782f2a802c03f6e24ef013e7e33d299703f
  • 2311a0274a3edf0a79d422ba126d2a1e23e98b13c40762e2aac7b40686a308c2
  • 26fba2bd9792cbe6aa14f3baa9a2ffb57344d7348805648a53dcf92644a8b973
  • 3cebbd85235c819ec92210572035f2973b54740f306b8b0607e03c84eb7b0914
  • 3ebc758a0186db99545ab2614b2a96544ab4509bf7d24c8d11dca06b2d17adbd
  • 42df2ceda548dbd95ed4cf8176dfb8817e7350ea9b296adb33a3e6c3f2fb272e
  • 4dfb9830a14e1e92ca88b40189fb05be60a42be886c9ca1cd2f6a3f5f09e0208
  • 51cd6bdb18da6dc94549e067b04e727b9e947f2f189f5c27da67eb56f77c5f54
  • 547ee4142a9088eba58961d0bfdae6a32f501affcff9dce7e3f424f47b8fd4a1
  • 5d3e5a9b7730bd40f0cd4392367744bb7a3ddefd3b316d603e56369a7813ee68
  • 680d56d915ec028d4d0e33cd63e90f58c1f67c4e8b92d11eabf2576702d5b3bd
  • 687d3887779bf147f8ab6637c28f76559f3a1cbe0899cfa07d0ac33733fc74ef
  • 6c9f60643913ae688fc163d8e09a71268c0bd527ca5e9330c163108aafac5944
  • 729777e3d2a3bc3e6846bdf89f4480052c3e5877a8dbd3d93c7a7d9f38d90311
  • 7575b3de182b5ad8b92eabad4f5307e27280729f81ab692d20633dac2f786d8c

 Vobfus

Win.Worm.Vobfus-6825980-0
Vobfus es un gusano que se copia a sí mismo en unidades externas e intenta obtener la ejecución automática de código a través de archivos autorun.inf. También modifica el registro para que se inicie cuando se inicie el sistema. Una vez instalado, intenta descargar malware de seguimiento desde sus servidores de comando y control (C2).

Indicadores de compromiso

Claves del Registro

  • <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
    • Value Name: internat.exe
  • <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\ADVANCED
    • Value Name: ShowSuperHidden
  • <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
    • Value Name: raaitay

Nombres de dominio contactados por el malware

  • ns1[.]boxonline2[.]net
  • ns1[.]boxonline3[.]com
  • ns1[.]boxonline1[.]com
  • ns1[.]boxonline3[.]org
  • ns1[.]boxonline2[.]com
  • ns1[.]boxonline3[.]net
  • ns1[.]boxonline1[.]net
  • ns1[.]boxonline1[.]org
  • ns1[.]boxonline2[.]org

Archivos o directorios creados

  • \??\E:\autorun.inf
  • \autorun.inf
  • \??\E:\System Volume Information.exe
  • \??\E:\$RECYCLE.BIN.exe
  • \Secret.exe
  • \??\E:\Passwords.exe
  • \??\E:\Porn.exe
  • \??\E:\Secret.exe
  • \??\E:\Sexy.exe
  • \??\E:\x.mpeg
  • \Passwords.exe
  • \Porn.exe
  • \Sexy.exe
  • %UserProfile%\Secret.exe
  • %UserProfile%\Sexy.exe
  • %UserProfile%\c\Passwords.exe
  • %UserProfile%\c\Porn.exe
  • %UserProfile%\c\Secret.exe
  • %UserProfile%\c\autorun.inf
  • %UserProfile%\Passwords.exe
  • %UserProfile%\Porn.exe
  • %UserProfile%\Secret.exe
  • %UserProfile%\Sexy.exe
  • %UserProfile%\c\Sexy.exe
  • %UserProfile%\raaitay.exe
  • %UserProfile%\RCX6E9B.tmp
  • %UserProfile%\c\RCX7DE8.tmp
  • %UserProfile%\c\RCX7E08.tmp
  • %UserProfile%\c\RCX7E38.tmp
  • %UserProfile%\c\RCX7E68.tmp
  • %UserProfile%\c\RCX7E97.tmp
  • %UserProfile%\c\RCX7ED7.tmp
  • \??\E:\raaitay.exe
  • %UserProfile%\RCX6D8D.tmp
  • %UserProfile%\RCX6DDC.tmp
  • %UserProfile%\RCX6E0C.tmp
  • %UserProfile%\RCX6E3C.tmp
  • %UserProfile%\RCX6E6B.tmp
  • \raaitay.exe

Hashes

  • 0037d65faac14ac7334d7945e27569d7cc3d5dc523721e6663250a12cae30970
  • 004cc9d4425a0e10fff6239ae475488707ebaf7f2a6e4a3dee7b34ce5695c321
  • 0067963d2aceffee9ef4f6e721810751dca83d21d0712abfa833a25e22ba4dbb
  • 0095c53a8472b4a6c607cb35a3c6a1a6b6b9bdb73411982877cd36bb337fe622
  • 012f637a2ecc4fcd7bb899d15bd3154da2e57990b06a2220a70275e4d71f6f1b
  • 014a73b4e83e353606d90832f8ed0531621a9f1b18ff8886f6ae4f0ac7fea1f9
  • 0168589ab988762e304160c1185d9f0cfda9fbae862d49b287151e2867434698
  • 0174a979de62c49713dc26bf492bfb8e938663b6678718b31b93a1ccf74a7c0a
  • 01833d63634a87bc656d3cb19e81a595c1ff2f9b576881d938d94276a3b19421
  • 01bb231426f9f04f1fcc15816758ae71cbbfaa4402ae208f2d97393f5e169eaa
  • 01f729500c940572e0fffc33813e6b390a11702f0023fa23e2a699f090843ca8
  • 01fabdf325a2cc93b441ad0f6fd5045d60f4948d1a675efab4ae6b6dd3d09e84
  • 033634d5e256d0c401521f689f02298c03161d93a73d6ee7516728e312346e59
  • 0405dd8730790632cc9af7a163bcf2edfe53dca323e2bbe51eebb1176e3d88c8
  • 040f4aa4129dbbc8fc35fa755d54819cd879cc1df72717c7326b3dfd2419fe68
  • 047a78afc2d81bf8c214cd3ec65c993f8a20d530e317e75364a6a8406b527259
  • 04cdd36585f184a6f00628a41e06df4e6d48e14405bdb1cfeefd32d6abece39d
  • 06180c973c1907270017c6c4d49f75fdedce5e0b303324b001db54321776bfc6
  • 06237a002970ae7de3bf9f30e3d7555366cb10f3e56a2df9a8cd19ed682f138a
  • 06318d4771dde1557bb1ef47bce6326768e83a5124051e296ca2463f9693bd50
  • 07ba24b2c6e0d1480180221ddb1854cfd5ccfef50487e13f71134669d0027e0e
  • 0885ba5f2be768f907c88b520c412d76734e90cd2104f36cbc14bf59c28875a3
  • 08876ed5bb3db929653ebd493da0bcd89d876d3ed96f0f8d897daa31719cf150
  • 0939e8b87435767e67f2b6850a54d6abe3b037639e8c076465a167f1f4673306
  • 0a9b4d6c0f1b0f87cf7e953c06d4684607e688252cd6d8b9bda28ea4bf8c871f

Razy

Win.Packed.Razy-6824365-0
Razy es a menudo un nombre de detección genérico para un troyano de Windows. Aunque los casos más recientes lo han atribuido a un ransomware que usa la extensión de archivo .razy cuando se escriben archivos cifrados en el disco, estas muestras son el caso anterior. Recopilan información confidencial del host infectado, formatean y cifran los datos y los envían a un servidor C2.

Indicadores de compromiso

Claves del Registro

  • <HKCU>\Software\Microsoft\GOCFK
  • <HKCU>\SOFTWARE\MICROSOFT\GOCFK
    • Value Name: mbijg

Direcciones IP contactadas por el malware

  • 66[.]220[.]23[.]114
  • 64[.]71[.]188[.]178
  • 184[.]105[.]76[.]250

Nombres de dominio contactados por el malware

  • kwowwauubfk[.]com
  • bqwzunofd[.]pw

Archivos o directorios creados

  • %AllUsersProfile%\ph
  • %AllUsersProfile%\ph\fktiipx.ftf
  • %LocalAppData%\Temp\gocf.ksv
  • %AllUsersProfile%\b95c
  • %AllUsersProfile%\gvpax
  • %LocalAppData%\1596
  • %AppData%\f2s9398
  • %AllUsersProfile%\0n48x8
  • %LocalAppData%\o1me3
  • %AppData%\d991m59
  • %AllUsersProfile%\3qy3
  • %LocalAppData%\7a92
  • %AppData%\98u3
  • %LocalAppData%\31m53w
  • %AppData%\4o5w356

Hashes

  • 00958b0eb7138a5cc3901f47ce902f6216b076fa341f9f7cda1bcfc62191b42b
  • 0ddb4e64337d7a3b5e7980bc3d8b2e3d1a8870bac611de6b7fd4ea04e4b13834
  • 16981b12217330adebe7b6d4ff08649f5ca2559b18331a0d0a6b79bc6f65cdcc
  • 1b2c133834c1edf5a9696671bc555209abcdf17936c851942892015622f21c50
  • 1da3d125ce62a7317cb80f4d48764995c8f7a84a15aa3a37abef6e03b4d8d071
  • 30bc3bf1588a0ffa91ca8e494a5e7e40cc35c80eeb3a77c23d9fb98a251a7e98
  • 3a1b58d54b6580a3d81fc5fc9cddd6f7eccfcab8f9f41fff81e45200d9d9294a
  • 449c7ac8be0256b2ca573101eeb65cb0a5be0af883974f68574625f2f6bff7f8
  • 44d438154cee044e36cb2a539261b3549d9cd16bfbf4d512073bba36a21d92d8
  • 5033ca548036bc7fc8a988dafab88c0e7694701b12202522207d5cf3d194a31c
  • 5c36d36a367eb555fcf3373121ec0ba2884ef92741471a65643cbd29f2877b9c
  • 65a753ef5c366e3c79c989948d25504822ae31754d2af381c2c2039a2f5d52cc
  • 78058316dd668f0052f9c8753cfb2c85c31a86bf9cf17fb9989de7efa6f34f3e
  • 7ca95a22275a3f76ab51720871d3fff23b57a640c628e940230efb05cd0a32f8
  • 7de1ddc87cc6956e6e20231d708073b011f5d03f79acd7dbc40052a3f05d60ea
  • 856dd8f3138a9dc5858bcb80efa1abe8634b995b7f597eb6235002f13371c176
  • 88528338d3eb4452c37548280f1c36d7e13eaf63cac1c320ea72f1f99403fa57
  • 891088ed7a0e386a1c84b332b0aadce6f4709958aa07614c7cc83797518a95f7
  • 9e5a684a10fb0f567bed0cbb71488bc9bb79d7fc15500a0da48c34caee6a804f
  • 9ef872a783502bb47d5a461d231e26e301cc9f6e4625e7bd0ef7a01620f89b47
  • a8cd581c54ecf14da45460fa8fd8e5f5e43133b78135df9e2e8ae5c36af635a3
  • af7b095f795a599e83c94d41432b2755d7289159075147aae6931cc622dac30a
  • bd354725cb308fe831075414d4e9f2a2dcddbd16c900484f9aa9e1bcf2bfc6cc
  • c03a12f494da082c5c108fd80c1e1a2a1bd8be7cc8dcf3fae02f8bb39bb11944
  • c088e5a96993d5361c5c0b138dd17d658de50a4c1007b4d6e5a971df8a8c39bb

Genkryptik

Win.Ransomware.Genkryptik-6824111-0
Win.Malware.Genkryptik es a menudo un nombre de detección genérico para un troyano de Windows. En este caso, nos referimos a un ransomware. Algunas de las actividades maliciosas que podrían realizar estas muestras, sin el conocimiento del usuario, incluyen la recopilación de información del sistema, la descarga y carga de archivos y la eliminación de muestras adicionales.

 Indicadores de compromiso

Claves del registro

  • <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
    • Value Name: internat.exe
  • <HKCU>\Software\Remcos-69PU1K\
  • <HKCU>\SOFTWARE\REMCOS-69PU1K
    • Value Name: exepath
  • <HKCU>\SOFTWARE\REMCOS-69PU1K
    • Value Name: licence
  • <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
    • Value Name: SKIVESKYDNINGENunenterpris

Mutexes

  • Remcos_Mutex_Inj
  • Remcos-69PU1K

Direcciones IP contactadas por el malware

  • 84[.]38[.]135[.]91

Nombres de dominio contactados por el malware

  • top[.]pubgplayzonejoco[.]waw[.]pl

Archivos o directorios creados

  • %AppData%\remcos
  • %AppData%\remcos\logs.dat
  • %AppData%\Imgburn\imgburn.exe
  • %LocalAppData%\Temp\WEALTH2019.exe
  • %AppData%\Imgburn
  • %LocalAppData%\Temp\Mirijana9nyhedsgruppeskitte.exe
  • %LocalAppData%\Temp\~DFE751F75B3A32A556.TMP
  • %LocalAppData%\Temp\~DFDEB24D10F9017BE2.TMP
  • %LocalAppData%\Temp\~DFE5FA503DE0D2D852.TMP
  • %LocalAppData%\Temp\~DFEE43B3EEDEE2644E.TMP
  • %LocalAppData%\Temp\~DFD949DB000F4368B2.TMP
  • %LocalAppData%\Temp\~DFCD42A77CD5F06772.TMP

Hashes

  • 049f02b69493dcfa1c2740519a965f5b3cdad94319480787f608df39646d4a45
  • 08703057fe22c4df53c83e1406c772d24148a570efb9b636307420c56a506fea
  • 0f52ae41d65fb4790aa778431fa32cc037cc4d31f734b6a540bd37668deb4df5
  • 1102ae383bafc64ff90b952f8f96797801396ad00b12e62ece8c5bf667bd7917
  • 136c0293daba6aecf870d253aa9393c085b8ff1dd6d47d71ae7aebd296c715b3
  • 149022bc418cf2110bc02bd03d65bc5c8e62c811b94361afe48a95c5a2649e64
  • 300c7f5229eccb18cef38365f7567ffa0d5a2226b2a338083f069e4349ee83d9
  • 311da3fa5daee4b28327edd53ab5aa57f061708b2dfa8fb755fd08854e2798a6
  • 4d652ede13a7424582090164c5d453a08610848aa6c2b34a2cd9641f2f9e4761
  • 5147bffb5e30bf2e6b0c38af954aa7de64ff15964b32df334a2881b3d34a88c9
  • 546c3e1bb5b13f369f8aa7333d7209d736c90edb7db2f41410ce42ceb264bf30
  • 561c6fadb78eb3c1ab18596a61a348af4e052b0a33754b1587f7e8f07ebb864d
  • 5724e9dbdc024c683ea3bfc2726c951fbbaf8faf46f4c61d7f1b5d24e0df0c19
  • 5bdb3e691c8f07c16392e5077601bb445110cc6e0aea0d5547b4469d82e06f42
  • 5d5d0f07cc4358b44291c6ee3455a3bc19ccea06fa66364bacd3ad051a368758
  • 5dc30dc295fd5a286c6ab6ba287d4b04373c16e1de75182a6ea221394dae1137
  • 6178f9c685e131ec20d7981f461e9947201b8ed5edd7ff64514d4b0daac78a7b
  • 6447cb09817b37ddb3b107e97060e9becac9ccfca8662cd3a193eec06ba1c35e
  • 6d5ff7b6af5fcab6b9a12a5213426b1d2fe93c06a039d25676bb00f2b3ea1231
  • 74625b4620d8233adf151b7c7797384e12e22df6fb67006482bcc8437c070838
  • 7733201b8330bffd8a41dee35a3ef2005e8424df477a5fd08fb52651093e7700
  • 77b8aa573a3967891d4cd3e93ec76a1004ec8294f0c479ae8043e821d06dc78a
  • 7ee37ca283d2cb7ef6fa8a8e507de85875b5796d5c006ea599d55c11f5e6a7ec
  • 86b98581605b1b0c5286f307bfd79338c74fc5bc73ac11e1abb0cb37f97d98d5
  • 8bf4d086da3f18e4c537e107ebc802056d0b0dc4813eee8c884671c9a68d587b

Ponystealer

Win.Malware.Ponystealer-6823878-0
Se sabe que Ponystealer puede robar credenciales de más de 100 aplicaciones diferentes y también puede instalar otro malware, como una herramienta de acceso remoto (RAT).

 Indicadores de compromiso

Claves del Registro

  • <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE
    • Value Name: Adobe
  • <HKCU>\Software\Remcos-L409SR\
  • <HKCU>\SOFTWARE\REMCOS-L409SR
    • Value Name: exepath
  • <HKCU>\SOFTWARE\REMCOS-L409SR
    • Value Name: lic

Mutexes

  • Remcos_Mutex_Inj
  • Remcos-L409SR

Nombres de Dominio contactados por el malware

  • 1010[.]http01[.]com

Archivos o directorios creados

  • %AppData%\remcos
  • %AppData%\remcos\logs.dat
  • %LocalAppData%\Temp\subfolder
  • %LocalAppData%\Temp\subfolder\adobepdf.scr
  • %LocalAppData%\Temp\subfolder\adobepdf.vbs

Hashes

  • 057500aaa50232337866b4470e930a698d96c97d446f2737bb9e69807e13fcd0
  • 26df92ebf43f0dda98bd34d5f72841717bbe9c524bded8d3d77bede19baedfc2
  • 2a5608a0d642fd23f0b49c6436886e937d4ba4a40e048bcd57338e74d7815a81
  • 2aee79633fda123830fe7061900dc9deb2af0c45d1ad97bebea2e853e0f6ce17
  • 424217fcced5f9a8a35c9de9a66e0c06b761cd2e46db6a042f325835104fcc47
  • 439e2e22cb2ff1879dd19c1efe2c2d8e2897d6cef866ce6fb9a33c84165253fe
  • 539c084c60d1d5e901aea6240f113a021c7cd7e447ac9cf35953d05666f3cc22
  • 634dc330090c9f2b5d7b1c670102d5c1cd3389cb676ff04cdbe87df50bfcfba7
  • 736b02c049a77d35435fb18fab0067544c4d6cc0cb2e0bfb9bf5152f65a8db93
  • 8269d87f90e2d401e0ac70d2f9e32aef62db5a70f7a0165646f44534edc9c265
  • 93411f9ee4535cba7e1c0e288a3188d9d1679d5b2b0bdd4e3b862d49e53510e4
  • a1436dfb3efb320afadb5355b305794a330284c5515283dceaaf70dc09450c73
  • c1e8d791958e9943798a6f28fa6a9563519d0d5a49d37f834af14b4074f2efec
  • c920ed42aae02a1536408fd3513dc1694fed093091a5655529149c989c7d6744
  • c95d501830e87c470c7d731a7be78fae90b38d4eb8aa8365d981d8397407fbac
  • d59d2b4a4b6473f7a82109b6768d3ce62fde8ec8f6da786986a2545da0245e49
  • ec8abd35fd1e3c8f29f4187d9ddcb7c6c3c35a838c688d8a08553d46ca091cd1

Valyria 

Doc.Malware.Valyria-6821700-0
Estas variantes de Valyria son archivos malintencionados de Microsoft Office que contienen macros VBA incrustadas que se utilizan para distribuir otro malware.

 Indicadores de compromiso

Direcciones IP contactadas por el malware

  • 191[.]6[.]194[.]81
  • 177[.]185[.]194[.]161
  • 157[.]7[.]188[.]229
  • 45[.]60[.]22[.]20
  • 54[.]164[.]54[.]199

Nombres de Dominio contactados por el malware

  • cm2[.]com[.]br
  • heteml[.]jp
  • secure[.]heteml[.]jp
  • snowdoll[.]net
  • www[.]plano-b[.]com[.]br
  • ecojusticepress[.]com
  • craftww[.]pl
  • lavoroproducoes[.]com[.]br

Archivos o directorios creados

  • %LocalAppData%\Temp\619.exe
  • %LocalAppData%\Temp\rucrrluq.3nn.psm1
  • %LocalAppData%\Temp\wjyt5a53.3uh.ps1
  • %LocalAppData%\Temp\CVRD0AC.tmp

Hashes

  • 006527ed4540d3e8b684bdc110cb1f738ca696e8706b748892930994de3dedef
  • 11f7710f8cabe988168078cd6ba83c2544d1d06c9a8a3583fabe164e87f7048b
  • 23f1b03ee66fb8dd1a515afd7adeb8f85b260ef5e20a7d80ad1697865f59f794
  • 243a87a44e767e8d5b788c29bb0dbec9986956b40c407074f670bcc9b206d730
  • 2b201210a7ea524a3d65c7d2ee2e7d322479657076a1c30f8ec6994eb97f269b
  • 3f7f15af2c3736d94f62e8d58bad269d29198eaffc40ccdbfd166878daeef652
  • 400d6b89b8026f39de9c80b89aae66e49afebf153c8b5b9d480307ada0f4c428
  • 5bdac880fac6d0b90751b1f2f7dd97b50ddf2759926a414b940dff6fb8117833
  • 5fefc488c0bb534fe5de5eb5244524ab5138474609c6363f959845a35b2fa94e
  • 73d4c1dafc168a36218d215548bdcc87b0ecb667acaf685b044b680f4f678dca
  • 775b96aa12728bfc5f6f68bf11d8ff34e252107d8f63440a471495e8ecd9f1f7
  • 79f220cc40a6d9d27adc27374ebf0263792e86b64061a709357233b88bb847e0
  • 7ca6572429e9aeeedaeb810c5752f1ee4f300435eedb55efc6128a3c5cb40028
  • 7d1452ab28a32b82e29a27b02f3881ed4eb7e33e47c65791753b6f9f6b0da364
  • 7d50253b1168a61a502890fdd13e7245b5f7aa8465da25e3bed00a8fa0a3b4fd
  • 8f0dae9f191c55289ab80783e68c0e03e97f391cd86ae283304555f20d8f2d31
  • a09a6e4a65a174787ec889f5e9d9024cdce88d46577d022a012ee4f86fb472cb
  • a77b90d16bbdd99569309b37cdae642159e8761ae9f8fb0853b193c0d3db7565
  • a8e856a69c9eb0074a418c67d575b91b49caea488574529a40e3b129cefde689
  • b438c81b2ada4914b77fb936ca70aa4fa1cb4cb6867c2171e9d21989a4419350
  • bd48756252ebf449627761f36c813dde9d57c0cdb82210e864afe4530353a362
  • c0c3c539411f9d602316f053a8c68bc78461be9c7b305107c2da072ebe1384a6
  • c77196231630b535ef5f0d46f78b7be22a27954daf395065b8f448829bcbbdff
  • caa71fe55c039c34b917a568a5325dee1ab6bbd7e343672b23dd3a498b2c21c6
  • e8f63eab9292aeb9f3b6adb62df6eb338ff28ff06faefa7fbbeae10e7e04927b

Zusy 

Win.Malware.Zusy-6822787-0
Zusy es un troyano que usa ataques de hombre en el medio o Man-in-the-Middle (MitM) para robar información bancaria. Cuando se ejecuta, se inyecta en procesos legítimos de Windows como “explorer.exe” y “winver.exe”. Cuando el usuario accede a un sitio web bancario, muestra un formulario para engañar al usuario para que envíe información personal.

Indicadores de compromiso

Archivos o directorios creados

  • %System32%\config\SYSTEM
  • %System32%\config\SOFTWARE
  • %System32%\Tasks\Update
  • %LocalAppData%\Temp\A1DE8592.tmp
  • %LocalAppData%\Microsoft Help\restewbes.exe

Hashes

  • 066d2ec864546e803031799ceb753c0729fd3fea5fee39ea32c7663cbc49ac4c
  • 0acd289c882b13ee2ab19fc065e675257f1be2795c5a9335db1be072b91137cc
  • 131c42eed549e4ac2995b6490cf5850e8713c7cacd3a5f6e8e0663d6e66a8bdb
  • 17ee81bccd57621bfaf7da158b68c11da1d3fd633f632ee1505823b022b7aeaa
  • 1deea19fa1060fdd6c5be36b6e8fd0dab37d17f4bf8e3adc418d4a28bc2e7753
  • 1f794910366228e4e66c3accd298d7159de6709370060edab157dceff6366fd9
  • 383c76d17194d3f95579b607f472f8b7eeef27280ab71f17c13f6d02c5e9891d
  • 4292bb14f28f0b6c2caf51f765a2c923caf4ff23f4ded0d791859b295cd8ca6f
  • 47b371a3cdeb0aff41456ba7597044a01f1aaac1ede2070fe6549b1cbda78f39
  • 4b5def0798881f70fb99cd1d96bcaffadc552652205264a6a14b7661dd5c260f
  • 5189b875f1f85c6b6d6ae3cc6d2922df8d8126269c32904e66af2f93081cb0f5
  • 51ef4bd2753e8ca2eefcf0c106110bb5e0191270ba94852d0df9267e7545535d
  • 558980fb1ae5ebef3efab8dfec1659a0407b243e3ea80ce9206cdbb821e8307a
  • 5664f44cf690e8084108f87f63ec9485cf7197846eed744a0e6d5a9a50b727e3
  • 5aabbed6b1e0973a02a33e35317b8acd09902b009c2bd6d1826098c1399ca1b8
  • 5fbe5fa066cb326ad3449dda72d41c3f7c13e7e53994f8783c398cf50b565bbb
  • 5ff9243d8d9d9d91a0b808e5a48e49577673a7bc490ff2d932c95ad97861e260
  • 6e0e7073accb6f820d47af977f502ae090c9a485a01e2f4844fa23b630aba3b5
  • 7df09dd5811ae5b81ff5a7b8f24058fde4d4033774733b9c944f9333636eca4a
  • 7eabab9ef1146639dc2c5ff6b81745741483a62df6453386f045f5ac011e2fbd
  • 82b95a38e9b61a85ef38b821f1f061bf2e089f21e53b39a76b040358f0803c5f
  • 8a61accd073ef7868fdfed4e18833f8edcfca716afac37cec88e03130617d3ca
  • 8eb4332282fde7742e91f4e4652842d95e953e9921b0580a17e2f9fa70a0bcf3
  • 8f3b61b93e8f2a2e5c20cfd9dfefd836ab5fc1fff5e60bba7e4d291c190afb87
  • 92c07c6c53d2eceba6b5563c6b701b10a5d74af3e82f06e7caddeb5e74ae7f0f

Ursu

Win.Malware.Ursu-6822222-0
Ursu ​​es un malware genérico que tiene numerosas funciones. Se pone en contacto con un servidor C2 y realiza la inyección de código en el espacio de direcciones de procesos legítimos. Es capaz de lograr persistencia y recopilar datos confidenciales. Se propaga a través del correo electrónico.

Indicadores de compromiso

Claves del registro

  • <HKLM>\SYSTEM\CONTROLSET001\SERVICES\ibpvucix
  • <HKLM>\SYSTEM\CONTROLSET001\SERVICES\IBPVUCIX
    • Value Name: Type
  • <HKLM>\SYSTEM\CONTROLSET001\SERVICES\IBPVUCIX
    • Value Name: Start
  • <HKLM>\SYSTEM\CONTROLSET001\SERVICES\IBPVUCIX
    • Value Name: ErrorControl
  • <HKLM>\SYSTEM\CONTROLSET001\SERVICES\IBPVUCIX
    • Value Name: DisplayName
  • <HKLM>\SYSTEM\CONTROLSET001\SERVICES\IBPVUCIX
    • Value Name: WOW64
  • <HKLM>\SYSTEM\CONTROLSET001\SERVICES\IBPVUCIX
    • Value Name: ObjectName
  • <HKLM>\SYSTEM\CONTROLSET001\SERVICES\IBPVUCIX
    • Value Name: Description
  • <HKLM>\SYSTEM\CONTROLSET001\SERVICES\IBPVUCIX
    • Value Name: ImagePath

Direcciones IP contactadas por el malware

  • 216[.]239[.]34[.]21
  • 255[.]255[.]255[.]255
  • 239[.]255[.]255[.]250
  • 69[.]55[.]5[.]250
  • 68[.]178[.]213[.]37
  • 172[.]217[.]6[.]196
  • 66[.]218[.]85[.]52
  • 66[.]218[.]85[.]151
  • 212[.]82[.]101[.]46
  • 104[.]47[.]2[.]33
  • 74[.]6[.]141[.]40
  • 74[.]6[.]137[.]65
  • 98[.]136[.]102[.]54
  • 5[.]9[.]32[.]166
  • 46[.]4[.]52[.]109
  • 208[.]71[.]35[.]137
  • 98[.]137[.]159[.]25
  • 74[.]6[.]137[.]63
  • 176[.]111[.]49[.]43
  • 85[.]25[.]119[.]25
  • 144[.]76[.]199[.]2
  • 144[.]76[.]199[.]43
  • 98[.]137[.]159[.]26
  • 104[.]47[.]44[.]33
  • 172[.]217[.]197[.]27
  • 66[.]218[.]85[.]139
  • 67[.]195[.]228[.]141
  • 212[.]227[.]17[.]8
  • 98[.]137[.]157[.]43
  • 208[.]76[.]51[.]51
  • 144[.]160[.]235[.]144
  • 104[.]47[.]9[.]33
  • 98[.]137[.]159[.]27
  • 43[.]231[.]4[.]7
  • 194[.]25[.]134[.]72
  • 213[.]209[.]1[.]129
  • 188[.]125[.]73[.]87
  • 64[.]136[.]52[.]37
  • 193[.]201[.]76[.]57
  • 98[.]136[.]101[.]117
  • 67[.]195[.]229[.]59
  • 98[.]137[.]159[.]28
  • 74[.]208[.]5[.]20
  • 74[.]208[.]236[.]137
  • 104[.]47[.]10[.]33
  • 192[.]0[.]47[.]59
  • 216[.]146[.]35[.]35
  • 74[.]6[.]137[.]64
  • 208[.]76[.]50[.]50
  • 144[.]160[.]159[.]22
  • 82[.]165[.]229[.]15
  • 40[.]76[.]4[.]15
  • 67[.]195[.]229[.]58
  • 8[.]20[.]247[.]20
  • 89[.]39[.]105[.]12
  • 213[.]180[.]147[.]146
  • 68[.]114[.]188[.]69
  • 203[.]138[.]180[.]240
  • 195[.]46[.]39[.]40
  • 199[.]212[.]0[.]46
  • 157[.]240[.]18[.]174
  • 167[.]181[.]46[.]232
  • 109[.]69[.]8[.]51
  • 212[.]77[.]101[.]4
  • 209[.]85[.]203[.]26
  • 17[.]133[.]229[.]14
  • 17[.]133[.]229[.]13
  • 17[.]57[.]8[.]135
  • 17[.]57[.]8[.]138
  • 17[.]57[.]8[.]136
  • 17[.]178[.]97[.]79
  • 17[.]172[.]34[.]70
  • 216[.]40[.]42[.]4
  • 17[.]142[.]163[.]10
  • 195[.]4[.]92[.]217
  • 173[.]194[.]76[.]27
  • 117[.]46[.]9[.]103
  • 157[.]240[.]18[.]63
  • 142[.]169[.]1[.]45
  • 64[.]233[.]166[.]26
  • 87[.]240[.]190[.]68
  • 87[.]240[.]180[.]136
  • 172[.]217[.]192[.]26
  • 207[.]69[.]189[.]229
  • 104[.]47[.]53[.]36
  • 69[.]168[.]106[.]65
  • 104[.]44[.]194[.]232
  • 104[.]44[.]194[.]236
  • 168[.]95[.]5[.]113
  • 168[.]95[.]5[.]218
  • 207[.]46[.]8[.]199
  • 70[.]169[.]223[.]215
  • 168[.]95[.]6[.]60
  • 85[.]13[.]131[.]232
  • 208[.]80[.]206[.]91
  • 204[.]96[.]26[.]100
  • 94[.]229[.]138[.]130
  • 79[.]96[.]161[.]121
  • 66[.]175[.]131[.]136
  • 204[.]246[.]122[.]94
  • 74[.]126[.]144[.]79
  • 212[.]159[.]9[.]200
  • 52[.]206[.]51[.]15
  • 185[.]164[.]14[.]22

Nombres de Dominio contactados por el malware

  • t-online[.]de
  • sbcglobal[.]net
  • myway[.]com
  • searchsingleshere[.]com
  • emig[.]freenet[.]de
  • charter[.]net
  • ff-ip4-mx-vip2[.]prodigy[.]net
  • excellentrxinc[.]su
  • freenet[.]de
  • fastonlinevalue[.]com
  • ev1[.]net
  • cableone[.]net
  • globetrotter[.]net
  • relay[.]globetrotter[.]net
  • bexldo[.]net
  • e-timetoroar[.]net
  • genericpillsinc[.]com
  • buziaczek[.]pl
  • rulovers[.]cn
  • karina[.]rubeauty[.]cn
  • kristina93[.]loversru[.]cn
  • bestprivateinc[.]ru
  • bestdrugassist[.]ru
  • bestfamilyeshop[.]com
  • hb[.]tinkerfcu[.]org
  • curingbestvalue[.]com
  • fastfastvalue[.]su
  • fastpharmeshop[.]com
  • acninc[.]net
  • curinghotsale[.]su
  • fastgenericsdeal[.]su
  • goodbestdeal[.]su
  • globalcarestore[.]su
  • fastremedymall[.]ru
  • ameritech[.]net
  • classoneequipment[.]com
  • chiclleida[.]com
  • ferbravo[.]euskalnet[.]net
  • scan-associates[.]net
  • condor2[.]telapex[.]com
  • commonhouse[.]net
  • codasoundusa[.]com
  • newonthenet[.]net
  • e-wholesaler[.]net
  • cgce[.]net
  • chopanov[.]com
  • westbournehouse[.]w-sussex[.]sch[.]uk
  • spideroak[.]com
  • cfw[.]me[.]uk
  • banking[.]achievacu[.]com
  • lucky-star[.]com[.]pl
  • franjadeponent[.]net
  • coffincheatersmc[.]org

Archivos o directorios creados

  • %WinDir%\SysWOW64\config\systemprofile:.repos
  • %WinDir%\SysWOW64\config\systemprofile
  • %WinDir%\SysWOW64\ibpvucix\
  • %LocalAppData%\Temp\gphgpbfw.exe

Hashes

  • 06331cb6eb8673a49614b3cf67f302cf7a3b5ea18b8bb7d004884cea8f196a83
  • 15ce5b3be486d7fe23f3115531ed6642587e3dff9bbfb5fef43ece0ed0cdb3f4
  • 198afede85accadb3c147dc92ac2f04866e2e2bbeea7ec1333f73e6a8d76a04d
  • 20edb680512a8741667e2652de74649da18542399acdd8dbdc9bc7121f422f40
  • 23c8d65f46d2aeb395e25e63dcf0d417703f7a54b501fb40aebc554061384bfa
  • 25f41a5ebb1175763d5eeb509a9b2fe559fdfd94a0d1a4736b7b766f9ba6363b
  • 2c224aa21be4c3f8bce2e13c0ddb04ce5ec9cdc1480c172d5e0e4e15fdee2c44
  • 2e889d267181a338b3c100a69417ee0a145820ab2aea59939d8bb6ccf56f3aef
  • 3223a9b86a93b8869b44d7d8d2a7e98de99ddd0e1a5050dd7d708c087f18458e
  • 32d7daae4063be4c3cf70d4cb43f0079d53c66170edbcba8282da98d49a7dbbe
  • 33def1029bdf7c6675d05d5f224749026a32717392ef848bb0a35b7d6a8f29b9
  • 40ad8820abac31fcf2219adb68218cb93765895995cb66f50dca15908d364752
  • 471866dd10a5be75f2119d718325aa4026ed267bae3ad29cb08cec747b11e4ea
  • 49f79b464c4130f0ff3a0c2b0d3336b0f6b8f51f56164f21b5ca7315424ea39e
  • 536c227b86419e3a60bc53b317001b6b8cb9894215a8431542867f4fd10f98ec
  • 53802104e558d3689a2f99347a69302fd459ee82615428cde09c28b4f7543541
  • 54064cacc8929ef3581370dd311be773d6f3cc45fab81d3a37552b1e854b770d
  • 61cfcad8b188a5dda449b76b070092eaa48ecad62c059b4795d3bcbb1e9581e6
  • 66ed081ce04cc7e9b321695e153f237f0f430a1dd103e719c8a3812afe148455
  • 6fb3f86955fd966f04ede90e33d2b9ae749b7b44a0a5fea78dca6a66387b5b92
  • 747cae3430aeeecc86f846ba3bcaad9645ac6a6c0cedc5c027c2b8b3ad1d561e
  • 75d9e8e6bc72e53881b4b8cd9daba1c13da9761cfafa560f57410ec8078ad675
  • 7e08971c510b3fd9d85876a9a057ba601c38da13173bbda1abe54e05074b22b1
  • 8a0b4a3b97122043e1ab8225b331fc4069ba150a275bc77316abc23841feda69
  • 8c3de5bbdd6542a6d0c828764b1f47a37a4cad07834bec2fc9c7ac31316834f0
amenazasIndicadores de CompromisoIoCmalwareThreat hunting

Comparte este Artículo

Artículos relacionados