ARCHIVOS ASOCIADOS:
Archivo zip del tráfico de infección: 2019-02-07-cred-stealer-via-FTP-traffic.pcap.zip 1.4 MB (1,364,164 bytes)
2019-02-07-cred-stealer-via-FTP-traffic.pcap (1,822,495 bytes)
Archivo Zip del malware: 2019-02-07-cred-stealer-malware-that-uses-FTP.zip 577 kB (576,974 bytes)
AL5THvvehvvvajyc.exe (906,920 bytes)
NOTAS:
Hoy encontré un archivo ejecutable llamado por macros de un documento de Word adjunto al spam malicioso (malspam) con el tema de DHL.
Desafortunadamente, no puedo proporcionar más información sobre el malspam o el documento de Word.
Pero el tráfico era lo suficientemente interesante como para publicar un blog en él.
El malware tardó unos 37 minutos en generar tráfico posterior a la infección.
Cada 20 minutos después de la exfiltración de la contraseña inicial, el host infectado envió una captura de pantalla de mi host Windows infectado a un servidor FTP en el trabajo desde casa
LISTA DE BLOQUES DE TRÁFICO WEB
Los indicadores no son una lista de bloqueo. Si sientes la necesidad de bloquear el tráfico de Internet, te sugiero lo siguiente:
hxxp://microflash[.]no/includes/AL5THvvehvvvajyc.exe
Tráfico de FTP para trabajar desde casa [.] Ga (el dominio parece tener un sitio web legítimo)
TRÁFICO DE UN HOST WINDOWS INFECTADO:
205.186.187[.]108puerto80-microflash[.]No-GET/includes/AL5THvvehvvvajyc.exe
89.46.222[.] 42 puerto 21 – trabajando desde casa [.]Ga-tráfico de control de FTP
89.46.222[.] 42 puertos diferentes – trabajando desde casa [.]Ga-tráfico de datos FTP
puerto 80 – checkip.amazonaws [.]com-GET/(verificación de la dirección IP por el host infectado, no es intrínsecamente malicioso)
Archivos de archivo
EJECUTABLE MALICIOSO:
SHA256hash: 72505cc347af0524c7f22ca97cb2547b7d51a1764ec43d1de7679c1072622c11
Tamaño del archivo: 906,920 bytes
Ubicación del archivo: hxxp://microflash[.]No/includes/AL5THvvehvvvajyc.exe
Nombre del archivo original: HERISSON.exe
Firma digital Nombre del firmante: CasterLevel
Firma digital Correo electrónico firmante: No disponible
Nombre del firmante: Symantec SHA256 TimeStamping Signer – G3
Hora de firma: martes 2019-02-04 13:24:21 UTC
Descripción del archivo: Infostealer que utiliza FTP.
Mostrado arriba: malware persistente en el host de Windows infectado.
Mostrado arriba: Más información sobre el ejecutable malicioso.
Mostrado arriba: archivos en el servidor FTP al que el malware envió las credenciales robadas. Los archivos JPEG son capturas de pantalla de mi host Windows infectado. Parece que este servidor FTP se utilizó para las credenciales robadas desde 2019-01-30.
Estos son los resultados del análisis de SandBlast de Check Point
Descargue el reporte interactivo desde aquí
NOTAS FINALES
Una vez más, aquí están los archivos asociados:
Archivo zip del tráfico de infección: 2019-02-07-cred-stealer-via-FTP-traffic.pcap.zip 1.4 MB (1,364,164 bytes)
Archivo Zip del malware: 2019-02-07-cred-stealer-malware-that-uses-FTP.zip 577 kB (576,974 bytes)
[social_warfare]
