Investigadores descubrieron una nueva campaña de malware-spam a través de la cual los ciberdelincuentes lanzan el malware Zeus Sphinx a través de documentos informativos de Coronavirus Lure Malformed MS.

Dado que la nueva pandemia de coronavirus se está extendiendo rápidamente de país a país, los actores de amenazas aprovechan las noticias de tendencia para tentar a las víctimas y atacan sus sistemas a gran escala con campañas de spam.

Maldoc Spam Delivery

Los ciberdelincuentes aprovechan la tendencia del tema COVID-19 para distribuir el documento de Word Malformed MS a través de campañas de phishing y spam.

El correo electrónico no deseado insta a las víctimas a abrir el archivo adjunto y llenar el documento para recibir una compensación del Gobierno, y están distribuyendo una variedad de documentos y la mayoría de los documentos con archivos .doc o .docx

Más tarde, el documento solicitó a las víctimas que permitieran ejecutar una macro para activar la cadena de infección y terminan secuestrando el proceso de Windows para obtener el descargador de malware.

El descargador de malware luego se comunica con el servidor de comando y control para obtener en nuevo payload del malware Zeus Sphinx.

La nueva variante Zeus Sphinx comienza con el documento armado que crea una carpeta maliciosa en  %SYSTEMDRIVE%  y escribe un archivo por lotes en ella.

Indicadores de Compromiso – IoC

Maldoc
DFF2E1A0B80C26D413E9D4F96031019CE4567607E0231A80D0EE0EB1FCF429FE

Samples
VBS sample: 2FC871107D46FA5AA8095B78D5ABAB78

Sphinx samples:
C8DFF758FEB96878F578ADF66B654CD7
70E58943AC83F5D6467E5E173EC66B28
7CA44F6F8030DF33ADA36EB35649BE71
8A96E96113FB9DC47C286263289BD667
C6D279AC30D0A60D22C4981037580939

Puntos objetivos de la amenaza

  • Todos los usuarios que utilizan sistemas Windows con Microsoft Word
  • Sobre todo, aquellos que tienen accesos para instalar programas en las PC’s, los documentos en esta alerta pueden ser descargados al sistema a través de correos electrónicos o páginas web no confiables.

Nuestras recomendaciones

  • A todos los usuarios que usan Microsoft Word, tener mucha precaución con los documentos de noticias referentes al COVID-19, inclusive cualquier otro de dudosa procedencia
  • En estén presentando una lentitud inusual con sus sistemas, reportarlo con su área de soporte inmediatamente.
  • Al equipo de Tecnología, se recomienda difundir esta alerta a los usuarios de su compañía
  • Registrar los hash IoC en los sistemas de seguridad de Endpoints, a fin de prevenir y detectar esta amenaza

Referencias

Fuente 1:   Hackers Spreading Zeus Sphinx Malware to Hijack Windows Process Using Malformed Word Documents
Fuente 2:   Zeus Sphinx malware resurrects to abuse COVID-19 fears

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .