-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}
Nueva campaña de malspam en plataforma swift
- Publicado: 18/06/2019
- Importancia: Alta
- Recursos afectados
Desde el CSIRT Financiero se realiza análisis a la alerta publicada por FS-ISAC, en donde indican que actualmente está en proceso de desarrollo una campaña de malspam sobre la plataforma Switf (permite la transferencia de información interbancaria de manera segura).
Se realizo el seguimiento a los IoC (indicadores de compromiso) adjuntos en la alerta. Se evidencia que el principal emisor de la campaña de correo malspam es noman.alvi[@]uns[.]com[.]pk, el cual se utilizó para realizar el envío masivo de un mensaje entre el cual contenía un archivo adjunto Microsoft Excel nombrado Eur 72,000.xls. con carga útil 1612450062-widgets[1].js que posteriormente a la ejecución del documento desencadena una lista macros de tipo PowerShell, los cuales se conectan a un servidor C&C (comando y control) y de manera oculta descargan el troyano trojan.ms office.stratos.gen, que cuenta con características que podrían permitir que un atacante introdujera nuevas variantes de malware (WSH RAT o Houdini Trojan) en el dispositivo infectado.
En el análisis realizado a la dirección IP 104.20.209[.]21 se observa que es una IP dinámica ubicada en Estados Unidos la cual se encuentra asociada a URL’s, dominios, downloaders y otros componentes catalogados como maliciosos.
- Etiquetas