Las amenazas más prevalentes de la semana

Como es costumbre, les traemos el resumen de los malwares más prevalentes de la semana pasada, de la recopilación que efectúa Talos, el grupo de inteligencia de Cisco, junto a sus Indicadores de Compromiso, para que los puedas utilizar en tu proceso de Threat Hunting. 

El proceso de Threat Hunting o Búsqueda o Caza de Amenazas es complejo y debiera ser constante, continuo. Un Blue Teamer debería siempre estar alerta, actualizado en el conocimiento del threat lanscape o escenario de las amenazas.

En el caso de la seguridad informática, la complejidad y velocidad del cambio en este escenario hacen muy útil el contar con resúmenes de las amenazas que provean Indicadores de Compromiso (IoC) para los ordenadores que están expuestos a ellas.

Tanto para un Blue Teamer como para un sysadmin, estos resúmenes son una herramienta que asiste en el checkeo higiénico de rutina de los sistemas a su cargo.

Los malwares más prevalentes de la semana pasada, desde el 22 de febrero al 1º de marzo y sus IoC fueron:

Bladabindi

Win.Malware.Bladabindi-6872031-8
njRAT, también conocido como Bladabindi, es un Troyano de Acceso Remoto (RAT) que permite a los atacantes ejecutar comandos en el host infectado, registrar las pulsaciones de teclas y encender de forma remota la cámara web y el micrófono de la víctima. njRAT fue desarrollado por el grupo Sparclyheason. Algunos de los ataques más grandes que usan este malware se remontan a 2014.

Indicadores de compromiso

Claves del registro

  • <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
    • Value Name: internat.exe
  • <HKLM>\System\CurrentControlSet\Services\NapAgent\Shas
  • <HKLM>\System\CurrentControlSet\Services\NapAgent\Qecs
  • <HKCU>\Software\Microsoft\Windows\CurrentVersion\Explorer\StartPage2
  • <HKLM>\System\CurrentControlSet\Services\NapAgent\LocalConfig
  • <HKLM>\SYSTEM\CONTROLSET001\SERVICES\NAPAGENT\LOCALCONFIG\Enroll\HcsGroups
  • <HKLM>\SYSTEM\CONTROLSET001\SERVICES\NAPAGENT\LOCALCONFIG\UI
  • <HKCU>\Software\76cbed672042da4827cdb3dabad9650b
  • <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
    • Value Name: 76cbed672042da4827cdb3dabad9650b
  • <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
    • Value Name: 76cbed672042da4827cdb3dabad9650b

Direcciones IP contactadas por el malware

  • 75[.]115[.]14[.]18

Nombres de dominio contactados por el malware

  • aaasssddd[.]ddns[.]net

Archivos o directorios creados

  • %AppData%\Microsoft\Windows\Start Menu\Programs\Startup\5489098719807719809090807918.exe
  • %LocalAppData%\Temp\rat.exe
  • %AppData%\Microsoft\Windows\Start Menu\Programs\Startup\76cbed672042da4827cdb3dabad9650b.exe
  • %SystemDrive%\Documents and Settings\Administrator\Start Menu\Programs\Startup\5489098719807719809090807918.exe

Hashes

  • 00c1545a8341307c8fbfbe10315ddd6742ff0a7471e959a25569456e901e3b64
  • 0c828e0e7c690afcf42c619562baf06eb2054fb2a76528c6e3d6374e6deee1b7
  • 17dc39add1ec5e7823521ef2b19f5a38525a20fd8af022f3f984b9b2c52fabcd
  • 23be58294c82887a32eddf964f9aa636092ab0199bbeebbc01027dac24ac741d
  • 2ee7564a6f0efbeb49e5e18a9bc922c9dee4b6a9825b442eab6c24b1e5c178d8
  • 36ac1e4bdb49d9a8e344daedded3f7135e5529b9170448ac640ad9887ec7cc3c
  • 3c49af04461bcf44feff0a1476d4c2aa0e8727589c5bcdd94ff61801dc606cd2
  • 3e6dc73e416087dff822e7b1155dacd150f8f55e522a0ea2c669ffb070b7349b
  • 4011bacd5f28a2ea3d6f5cb8aa6f903a11d724de952efb43fec2c4dc6290b1c0
  • 56f7759b5a937d04cc3b52b4776002621b1cbb4cca2a8c03e9a663dd0685bddc
  • 5710aca5b05ba6e9936dbbb64f09f634bd0d7aabafa805bc1e898af204bc842e
  • 5a8894812ad5ffb8786ece426c56316907d57cf690991eaf1f36ba31abcd8f1d
  • 5ef1459ea87c9092b343f92cae360bdde926b0d160e46fa0202bb2575d4bb16b
  • 6440a66af66551ca6997993e14acca0c00cf7d608b189e62ce9621cf66db371f
  • 64dba074080613d0d1950f4edda64830a5aa5c94dc4170de00b90470b925fcdc
  • 673f48756e3692c5bb50c1e4b73973eace36e1b4e1f23925864d570508efd1ab
  • aa491525b45991154405aa5382b354494d69d24130bc61c96f02b2b13598d2e7
  • b44fa6d7da5bc0dccd76440f17ed79b0accd7229f7f380ebfad498ef4bab71de
  • e0bec776e2059e85dbae9ccead0ad5404f7ff1be4e44fec99fc1905ea9d82dd5
  • fbe3e1d761cc96909caa72abc3443dd15236adb17091abdac00fde2044554496

Win.Malware.Vbtrojan-6871444-0

Esta es una herramienta maliciosa utilizada para explotar Visual Basic 5.

Indicadores de compromiso

Archivos o directorios creados

  • %LocalAppData%\Temp\Ahk2Exe.tmp
  • %LocalAppData%\Temp\AutoHotkeySC.bin
  • %LocalAppData%\Temp\dnfahk.tmp
  • %LocalAppData%\Temp\upx.exe
  • %SystemDrive%\ReadMe.txt
  • %SystemDrive%\SetInterval.bat
  • %SystemDrive%\keyboard.reg

Hashes

  • 050f57560e1691e7b09ccd86e92ec1c2c4ac361ba09862697ad908d6dfa93090
  • 2d2358fa90431448800c75dce6080b7c6132fcb574a3a0ef7eff8d6d90808ec7
  • 38eb2684819f7ae15b5b66bfabf0a123ff7af22dca1f014d52e8de8f88011cc6
  • 39ef144fefb739ea1ff1582e9c3da0f42566855c6769f9ed4c2d7f9427edf717
  • 4113c20eefdb7e002a631e2216e26b80c654f3e77f80908049176ccc7c105db3
  • 707c28b3f66d708609d8f31b506dade16aad80b157582abbcb90aa1352513160
  • 78bb2e2c086a0252e83307667178ed3e5d64a73dfcef3b82b05f4c64e4496009
  • 7b670e0cfa7367552b892ff42a79c2a79f80d91511f6a34f01dc1250ffe2a538
  • 7da38b9e6dbe8e58d688fe1488505275d54749bf063cf35cba4b151f0bfab0c7
  • 9ea4fceafec0c30c58c33314c97a17084681cfc0caeeec45eead64d3a94f2ba7
  • a82ae00d8c84291c08a8edf86a8ca60bdca351ad94dd06135414636312b64809
  • cfdea8ab0d2f4b82bf9d103b053b8a10eb456bd7e7896f29bed3d1f3649d2001
  • dae4d4b71a86a15defa8f63fe3ef28e11436069d6869092b3b23fd0f95f465dd
  • e3bd392d634b990676115698db9344201480c0cf6fd27bfaa6247f0728d41625
  • e698f2b3d4b2d0b9544592ae05270bedfdedbdd01d356cb6bab740791f5b0263
  • f0c556af8fab1d03cdd7592d0dfd999233555a0e7622b54c5f2cab6fae2d95da

 

Ekstak

Win.Malware.Ekstak-6871246-0
Este malware persiste con los privilegios SYSTEM al instalarse como un nuevo servicio llamado «localNETService».

Indicadores de compromiso

Claves del registro

  • <HKLM>\SYSTEM\CONTROLSET001\SERVICES\localNETService
  • <HKLM>\SYSTEM\CONTROLSET001\SERVICES\LOCALNETSERVICE
    • Value Name: Start
  • <HKLM>\SYSTEM\CONTROLSET001\SERVICES\LOCALNETSERVICE
    • Value Name: ImagePath
  • <HKLM>\SOFTWARE\WOW6432NODE\LOCALNETSERVICE
    • Value Name: Value_42632

Direcciones IP contactadas por el malware

  • 216[.]218[.]206[.]69

Archivos o directorios creados

  • %AllUsersProfile%\localNETService\localNETService.exe
  • %LocalAppData%\Temp\tsc131118.dat

Hashes

  • 02aebb6edf1d2ae7df3d9adca31b397c9032b6e0844a2796e0028b17c19cf345
  • 055f622eae00bf5cbe062b706bbf55ff4b4d9ac0ae4ac91b0552d2b32f4ccb05
  • 220a6e183611bd6730eeb2cfdd4536eca6829283566e2c0d5c410adc6552a058
  • 387a3f8e33297a952ab2b93dd4f6c0a97fe797e18ead0c9cf050f0918758d1dc
  • 3bd06213aae4214b81d1dd83d8d456a593122584708b86980e02f3f2e0472710
  • 3bd551b75a97dda9d0aa66d9ae24fbee3e0d4dcae0b4a4aa98be994a4ec59d9f
  • 5d6ce39c286eca1777a5e5bd93bd52e76ce042d0249db6ca32648611d30a5b2d
  • 6073475e3a8bd7eba6a13f771a51245c929e49e40afe97c0eccf3887df18826d
  • 63806671769e485496408fd6c1c4e845ef35087c74b02fb104dc06a52b90d636
  • 6f0702d5a7a8a07c0f27da9850c0953634577bbfef272016d26795c40b1e95c7
  • 7372e040d1d26c864f261ac7df8c7a509594c3efce26e03c3e14389e55c526bf
  • 81376a8e386940982bd552e0be5fd0cbfffb9ae39bbb97280e7f6096fc4a7af1
  • 81cc82b599e1cc44fd7dde9366315886f5a1c40e7cae7f4edbbcb2dd104a69e9
  • 825b8e7b877bacf8d24afe1e1082eff72e43633b3a411104d624d0b66e3f8dce
  • 9fbe12ce5275b09a48bd1efdd6208b7ffae37878febf82fd1805db49212578e1
  • a24a1a691d04ff091d2b99970d40108726c188224dc4503b1e3a7f9a22df4ebb
  • a295919ff4794ccccaf3750a5540476e6868766512d13db1a859bb64b4af59db
  • b4ac2fb4da484e90e08e20db2270de2f15d6684e614d239abe2586896076a7f1
  • b52449f5249e1937b6130149f59e6771605a0e64635d151ce8e2f5819c99d93c
  • b5cb0d3df17907248b6d84a57279b26fa39c123c4a240b1507ae7b8233f2ec0d
  • b9b0fea1d1dbc027dd27c1b4d07d5411a35cc60d43ed137d00a958a34292f4bb
  • c48fbacb48492d59dac5fd7d2e9d8474e7282ca84d2605b23794e49f15229693
  • c7974f414e32a93836f9e3a710251a23c4163a89cb2967bc99010c080034d9e3
  • cc4bd522847f7673dcfdc37b7e330b470eacf5e9a47bd0f6d466267f5b152e3e
  • d98eb303771aed9508601074db1e05dedeb028d1c09aa7313b0b15eff40f7eb7

Zbot

Win.Trojan.Zbot-6871232-0
Zbot, también conocido como Zeus, es un troyano que roba información como las credenciales bancarias usando una variedad de métodos, que incluyen el registro de claves y la captura de formularios.

Indicadores de compromiso

Claves del registro

  • <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
    • Value Name: internat.exe
  • <HKU>\Software\Microsoft\Internet Explorer\PhishingFilter
  • <HKCU>\SOFTWARE\MICROSOFT\Qaygra
  • <HKU>\Software\Microsoft\Windows\CurrentVersion\Run
  • <HKU>\Software\Microsoft\Nabu

Direcciones IP contactadas por el malware

  • 23[.]253[.]126[.]58
  • 104[.]239[.]157[.]210
  • 104[.]239[.]157[.]210

Nombres de dominio contactados por el malware

  • macrshops[.]eu

Archivos o directorios creados

  • %LocalAppData%\Temp\tmpa9735385.bat
  • %AppData%\Icda
  • %AppData%\Icda\ehday.exe
  • %AppData%\Vyarqe\erezu.loe
  • %SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp2ad79550.bat
  • %AppData%\Kyba\ryisl.ubo
  • %AppData%\Leve\yhqy.exe

Hashes

  • 21a58e23e14143301c847d9f6151d024a8f38db8922e2797b2548a9b1e6b9b47
  • 2531e7bbc454b8b643c5f21fbd7ed88c71aed73dc3a4fcf20815092eefeefbe7
  • 2c8c8e0b5b378425b6a5d2ccff3e2274230734ffe419970a49c87c26d8d41047
  • 399dad77516c27f0b2f5a36605a5fa25aff0e6a0ec66feae6854838336ee8b0d
  • 3f32cdf15d079fe250d8b42a5abd58d1ff3012599f8478b074dd096bb25b537f
  • 48d0fd82b8625c9c789284fc23cd0ee9cb9bb3ef96728c61de4a25ce7d6fc21c
  • 5827e6c1a8a5ca100482c127b7c0402788ca4d870057eed2af089bc9d858bfb2
  • 5c46b61ca41c03433e5ab3f156116e312cda1b50079189af82f1df8721e3a73b
  • 739b9fec48a683f39fd924a24eaa0dcde0207cac1bcad4463223ff731f007ad3
  • 9f3129449f2ece4a84ddef0b071d9721945db8fa93bb06ac6bdb3b7f0388c35c
  • abc68f3b8db8e6a50c56605c2f7fb153717a7c7f96a905b527059182fbdb8688
  • bde83f62cdf8f9565146e44b2796c35368f81b9a38fed73670879cff44bc2956

Bifrost

Win.Trojan.Bifrost-6871028-0
Bifrost es un backdoor con más de 10 variantes. Bifrost usa la configuración típica del servidor, el generador de servidores y el programa de puerta trasera del cliente para permitir que un atacante remoto, que usa el cliente, ejecute código arbitrario en la máquina comprometida. Bifrost contiene características estándar de RAT que incluyen un administrador de archivos, utilidad de captura de pantalla, registro de teclas, grabación de video, monitoreo de micrófono y cámara, y un administrador de procesos. Para marcar su presencia en el sistema, Bifrost utiliza un mutex que puede llamarse «Bif1234» o «Tr0gBot».

Indicadores de compromiso

Claves del registro

  • <HKLM>\SOFTWARE\Bifrost
  • <HKU>\Software\Bifrost

Mutexes

  • \BaseNamedObjects\Bif1234

Direcciones IP contactadas por el malware

  • 148[.]81[.]111[.]121
  • 204[.]95[.]99[.]100

Nombres de dominio contactados por el malware

  • xyinyb[.]com
  • rfyeoc[.]com
  • owiueu[.]com
  • paredx[.]com
  • qlotay[.]com
  • vlocie[.]com
  • wbrthv[.]com
  • pozswe[.]com
  • kucqey[.]com
  • tnsamu[.]com
  • pydquj[.]com
  • lbeewo[.]com
  • pkoitz[.]com
  • ufhspo[.]com
  • qyevsy[.]com
  • qsayev[.]com
  • yvmoie[.]com
  • lybcri[.]com
  • ypauhr[.]com
  • qdhoas[.]com

Archivos o directorios creados

  • %System32%\drivers\etc\hosts
  • %ProgramFiles%\Bifrost\server.exe

Hashes

  • 0040b9166f09670f4c3b16d247f4fbfae7aa5e989407dcf5237f05594c4c150e
  • 0082f04583eabadaa51f3f4a91c82d363eef5f553973765aacc58462c9b83525
  • 0ea44f69cdee613bd907dc2e4c97fc942d2f4807f28f69914514d1737709f223
  • 1eb3fb26576b32630aaf3f1ae2b81140e083639608a5ff4b695ee7805a70a87a
  • 2225b77359e3ad87306d38a22713167c33846488d0b091fe1a6890b3b6560979
  • 230afd73943ecb538ed51a50fda07b4ba0e37ee805dab7e263e2623a2dbb4dd9
  • 27d6fd04978ac887712c25756e03b14152bcc3a0649307c4d0e6fe491b68a41e
  • 2bbd0c136832d5e091ecae568a017e04ab6f3757e5e1a376c4700a4117e1b94e
  • 31ff3f68aa25f1200040f390297a044ab8d313ff9b1f377e23d016267d092fca
  • 4cf558585a8bef563e37238f9459092c627538e2fadb99ac1dbe9f22b63eb346
  • 4cfa43c370fc0a19826f19f48f60a3abba75ee4811c6df4d0313d0f0c3274f58
  • 50eba44b2ee65fc0c95539b3197a10ccafca91df34717b0f48f60553f6d694ee
  • 59c8baa550d491782d9b3899c2252fc8d71971b2c399a807f81b1917a4e31c65
  • 5e62499136f6391316d72edb7924744f2bc289776308c89a4b3a1a0d3ae081c1
  • 64ddbc85e24f4acf10ca1945110b16e2b7f0d53f68be8ca711b025ae4561dade
  • 6e5a78dc6bc5435005e4b5134d41d2469d76101e561e84dc23ce8bbf80e937d5
  • 778d3552da4d5b5d5586962b6f0d092c2f0b5c029ed514c13ad4f39847f771cb
  • 77b9574204c60ee0eb588ae3afbdf14912634fce0aefca81ffd0822c48f3468d
  • 82858882f23741cd930cff314994761b135b06d8d04cc8be09fa54567dcb94f8
  • 837301f97cdc69d729ab753bf6f284a988c0ff6793fe89924e3f360f467d0fba
  • 872f04d1d11643a224e8535e71139b3074aa4f98c157ade42da7c74dda4208f2
  • 875b76f081746c6299421dad1963ff5f212b43b0bb6217fe6681465e06a5d2b8
  • 8d72e7115a4564541d30649d2f3203306cccab27c543d58ba6267b4752c4528f
  • 914a3fb08cce05e93bfd8b2e41a8202341d8b7857f73b692190477a2bd0a1797
  • 9917d5deaa1b02d329454f1e08e548f750d3f0b09a0f38d55e6c94f84243ab4d

Emotet

Doc.Malware.Emotet-6866090-1
Emotet es una de las familias de malware más ampliamente distribuidas y activas en la actualidad. Es una amenaza altamente modular que puede ofrecer una amplia variedad de cargas útiles. Emotet se entrega comúnmente a través de documentos de Microsoft Office con macros, enviados como archivos adjuntos en correos electrónicos maliciosos.

Indicadores de compromiso

Claves del registro

  • <HKLM>\SYSTEM\CONTROLSET001\SERVICES\startedturned
  • <HKLM>\SYSTEM\CONTROLSET001\SERVICES\STARTEDTURNED
    • Value Name: Start
  • <HKLM>\SYSTEM\CONTROLSET001\SERVICES\STARTEDTURNED
    • Value Name: ImagePath

Direcciones IP contactadas por el malware

  • 212[.]83[.]51[.]248
  • 159[.]65[.]186[.]223
  • 74[.]59[.]106[.]11

Nombres de dominio contactados por el malware

  • lenkinabasta[.]com

Archivos o directorios creados

  • %UserProfile%\880.exe
  • %WinDir%\SysWOW64\d1Ltzcv.exe
  • %LocalAppData%\Temp\CVR3F73.tmp
  • %LocalAppData%\Temp\ysrbsuxx.yb3.ps1
  • %LocalAppData%\Temp\zh5htpos.q5s.psm1

Hashes

  • 26bda8a7e04a3b4ba47ff57f776cb65b0ed11870bc5fa65b33353c53ab718566
  • 363371e71bfd3a0f6e8e0ffe1017918d65d5afe7ce1c6d7ea26f5604b26144ce
  • 3a162a09d1f8a4ee0248d72a60ff0ddbc2cef8084c3d2aed1cfb73192f628d42
  • 3d48920206c69924bd3c388e2d7a48845e48ba6a525f06ae466db235deaa6832
  • 415eda47173d571207d420861a66ea7419cea30d59a901f716354c8167c8373b
  • 4c70e7e49082dc78f27ac863bfaf671ce823ed43575d608e309cb6e839f093ce
  • 6055cf5b67690819f88a3a96685386afd8819377dd31454fab559809fc9ef6eb
  • 949bd24349829221977de531f8a1dc80d401bf5e0a8fc69a1b386261b474ee43
  • 9fa9d852c7f7a94a022347e7bf2325d41032163fb7ec61d362bfeb94a0ed9ee8
  • ba0b908255f68bff48e58cc7d2ac0caa55e369b7a282fce5b9d58ae1df34b681
  • bd1f913c5ceaf2042070666fba37fa0a8108f1e82ac19e516a7f74e9d5da5ea8
  • cb83759cf47a4b6e44e5afcf6f85f64b475a6f4bbcd0bff82b31b45f048a64c9
  • d523914940ef79338eeba96e8befae59574d1552f13ddff5c41500bf43d9192d
  • db0478556a516ed5d8508f165251efd10fd3e68c84fda7d720730f6409af61b8
  • e881930c362396744a2338740d28ac26377cf19c33b460cdac987fcb1255f804