TROYANO POULIGHT, es usado en nueva campaña de PHISHING

Recientemente se ha detectado un ataque de phishing por correo electrónico. Este ataque utiliza un troyano llamado Poulight, el cual se ha estado utilizado desde el año pasado.

SERVICIOS AFECTADOS:

  • Sistemas operativos Windows

DETALLES TÉCNICOS:

CVE: —

Severidad: ALTA

El atacante primero envía un archivo de phishing utilizando la tecnología RLO (Right-to-Left Override). Con la tecnología RLO, el archivo de phishing originalmente llamado “ReadMe_txt[.]lnk[.]lnk” se mostrará como “ReadMe_knl[.]txt” en la computadora del usuario. Al mismo tiempo, si el atacante establece el ícono del archivo lnk como un ícono de bloc de notas, el usuario podrá confundirlo con un archivo txt sin daño. De esta manera, el usuario originalmente creerá que abre un archivo txt, pero en realidad ejecuta el código preparado por los ciberdelincuentes. El sistema ejecutará el comando powershell de acuerdo con el contenido del “objetivo” personalizado por el atacante, descargará el programa malicioso https[:]//iwillcreatemedia[.]com/build[.]exe, lo establecerá como un atributo oculto y ejecutará eso.

Después del análisis, el programa malicioso descargado se compilará con [.]net y verificará si el entorno es una máquina virtual o uno de análisis de virus. Una vez concluida la inspección ambiental, el troyano comenzará a crear subprocesos para ejecutar sus módulos de funciones maliciosas reales. Para esto, primero, el troyano cargará sus propios recursos a los decodificará a Base64 y finalmente obtendrá el contenido de la configuración.

Una vez codificados los datos, se cargan en el servidor en orden. Después de que el extremo remoto devuelva la cadena “bueno”, se ejecutará el código siguiente. De lo contrario, se realizará un intento de carga cada 2 segundos hasta que tenga éxito.

Una vez finalizada la acción anterior, el troyano descargará el recurso de URL hxxp://ru-uid-507352920.pp.ru/example.exe y lo guardará como “%LocalAppData%\\<8 bytes de caracteres aleatorios 1>\\<8 bytes Caracteres aleatorios 2>[.]exe”.

Además de la detección del entorno operativo, el troyano también registrará nombres de usuario, nombres de máquinas, nombres de sistemas y otra información de la máquina, incluidos productos antivirus instalados, etiquetas de tarjetas gráficas y etiquetas de procesadores.

La función principal del programa también es recopilar información diversa en la máquina, pero después de la recopilación, se elimina la carpeta donde se encuentra. Lo cual podría deberse a que se encuentre en etapa de prueba.


Indicadores de Compromiso

URL

  • hxxp://gfl[.]com[.]pk/Panel/gate[.]php
  • hxxp://poullight[.]ru/handle[.]php
  • hxxps://iwillcreatemedia[.]com
  • hxxps://iwillcreatemedia[.]com/build[.]exe
  • hxxp://ru-uid-507352920[.]pp[.]ru/example[.]exe
  • hxxp://gfl[.]com[.]pk
  • hxxp://poullight[.]ru
  • hxxp://ru-uid-507352920[.]pp[.]ru

Dominio

  • gfl[.]com[.]pk
  • poullight[.]ru
  • ru-uid-507352920[.]pp[.]ru
  • iwillcreatemedia[.]com
This image has an empty alt attribute; its file name is Recomendacion.jpg

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Considerar deshabilitar PowerShell o monitorear su ejecución, evitando que pueda ser aprovechado por softwares maliciosos.

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IOCs es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de sus servicios internos y externos, con el propósito de aplicar los cambios de manera controlada.

** Es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de los servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente: http://securitysummitperu.com/articulos/nueva-campana-de-phishing-bajo-el-troyano-poulight/

¡Compártelo con tus amigos con el botón al final de la página!

Si te ha gustado ¡Vamos! SUSCRÍBETE a continuación:

android Apple Ataques Malware ciberdelincuencia CiberSeguridad Desarrollo Diversion Eventos Facebook Google Hacking Hardware Innovacion Inteligencia Artificial inter Internet Iphone Legal linux Mac Malware Microsoft Movil Multimedia-TV-IOT Móvil Móviles Navegadores Novedades nube Programacion Ransoware Redes informáticas Redes Sociales Seguridad Seguridad en Internet Seguridad Movil Sistemas Operativos Tecnologia Tips Tips Móvil Uso de Smartphone utiles vulnerabilidades Window Windows

Deja una respuesta

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s

A %d blogueros les gusta esto: