21 sep. 2017

Correo falso de AFIP infecta usuarios argentinos

El pasado 12 de septiembre FireEye publicó información sobre un exploit 0-Day que utiliza la vulnerabilidad en .NET Framework identificada como CVE-2017-8759. SI bien esta vulnerabilidad ya dispone de la respectiva actualización de seguridad lanzada el martes pasado por Microsoft, según mencionan en el blog de FireEye, este exploit fue utilizado para distribuir el malware FINSPY en Rusia.

Ahora, está siendo utilizado para infectar a través de correo electrónico a usuarios de AFIP, la Administración Federal de Ingresos Públicos de Argentina y se está utilizando para distribuir el malware Betabot.

El correo electrónico y el archivo adjunto

El correo electrónico falso dice provenir de la AFIP [[email protected]] pero en realidad es enviado desde un servidor vulnerado con una dirección IP asignada a Gualberto L. (vtcc[.]com[.]ar - 186.121.171.235), un proveedor de servicios de Internet (ISP) con sede en Argentina.
El mensaje describe un manual que viene anexo en el correo. El archivo adjunto es un archivo ZIP, y ese archivo contiene un archivo RTF (Rich Text Format) con .DOC como extensión de archivo. Fiel a su palabra, el archivo RTF efectivamente contiene un anexo al documento oficial de AFIP que cubre el tema pero también contiene un exploit para CVE-2017-8759 y simplemente abrir el archivo con Microsoft Word el equipo (si es vulnerable) se infectará.
Al abrir el documento RTF se crear, mediante Powershell, un archivo ejecutable que corresponde al malware Neurevt.A/Betabot. El malware se aloja en C:\ProgramData\SystemMicrosoftDefender2.1\[random characters].exe y queda persistente a través de la modificación del registro de Windows.
Luego de la infección se realizan peticiones HTTP a varios servidores en EE.UU., Sudáfrica y Vietnam sobre el puerto TCP 8007 (classupdate[.]punkdns[.]top:8007).

Conclusión: no descargar el correo, no abrir el ZIP, no abrir el DOC... Actualizar .NET inmediatamente.

Fuente: ISC

2 comentarios:

  1. Una pequeña contribución, hemos detectado en nuestros logs uno similar que llega desde el remitente [email protected] con un adjunto AFIPReglamento.zip, por lo menos nuestras defensas lo identifican con el CVE 20170199, bloqueen preventivamente ese remitente. saludos

    ResponderEliminar
  2. Otra contribucion desde las casillas que recibimos el correo y sus respectivas IP de origen.
    [email protected] > 190.52.32.3
    [email protected] > 186.121.171.235
    [email protected] > 182.50.132.193
    Saludos. Damian.

    ResponderEliminar

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!