-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}
Campaña de Phishing distribuye WSH RAT.
- Publicado: 14/06/2019
- Importancia: Alta
- Recursos afectados
El malware fue publicado el 02 de junio del 2019, se relaciona con una nueva variante del gusano Houdini dirigido específicamente a usuarios de banca comercial. WSH hace referencia a una aplicación para equipos Windows utilizada para ejecutar scripts (Windows Script Host) y RAT a Remote Administration Tool (Herramienta de Administración Remota).
Se identifica nueva campaña de Phishing, la cual trae adjunta en el cuerpo del mensaje el enlace elcisneblanco.com/tmp/banking/etails/bank.php, en el cual una vez el usuario haga clic sobre el enlace lo redirecciona directamente a la descarga del archivo malicioso BANK DETAILS CONFIRMATION_PDF.zip el cual, trae comprimido el Script de Windows y la RAT.
Se realizó un análisis al hash del archivo c005b0137ef66c4025772c418c20013aebc5bf355a625f3b2db1a4dfc2bcb53b y se observa que 21/60 AV lo detectan como malicioso.
Se identifica el dominio en donde está alojado el archivo malicioso.
Se evidencia que el sitio futuroformacion.es no cuenta con uso adecuado de protocolos de seguridad, por ese motivo se induce que esta siendo utilizada como repositorio de malware.
Se realiza un análisis en el cual se identifica que el dominio está asociado archivos maliciosos, URL engañosas catalogadas como Phishing y además como descargador en donde se encuentra el archivo malicioso que distribuye WSH RAT.
- Etiquetas