Alerta de seguridad

Nivel de peligrosidad: Medio

Descripción

El malware adjunto es denominado VIPKeylogger que se distribuye principalmente mediante campañas de phishing. Estas campañas consisten en correos electrónicos con archivos adjuntos que simulan provenir de empresas legítimas. Una vez ejecutado, se instala en sistemas Windows y recopila datos de los navegadores web, centrándose en la captura de credenciales y datos sensibles.

Este malware se distribuye a través de campañas de phishing, disfrazado como archivos adjuntos (con extensiones como .pdf, .zip, .rar o .exe) que realizan operaciones en segundo plano sin el conocimiento del usuario.

Recursos afectados

Credenciales guardadas en navegadores Web.

Indicadores de ataque

• Nombre del archivo adjunto: 001#_7394.rar

• Vector de ataque: Phishing

• Correo electrónico remitente: press@sekla.gr

• Dominio del correo remitente: sekla.gr

• MD5: 07c1daf337992f3864be71abc7d11a55

• SHA1: 3f0c0df6f4c0edd8041e653a8a18ad8841ef94ec

• SHA256: d2149ccd022111a63cc36ce70215f8dbf9afacce168c954bfeff9cc98a4592d9

• Vhash: 016056655d15755210b02002300a7z141b013zf2za0030e039z

• Authentihash: 4e9bb22a9609ce456f2262071cadf15e18d97d3dab88673bc24a29ca734131fe

Actividad maliciosa

Al abrir el adjunto comprimido (001#_7394.rar),el usuario descomprime un archivo ejecutable. Cuando este se ejecuta, instala VIPKeylogger en el sistema operativo (Windows 10/11). El malware monitoriza las pulsaciones de teclas y recopila:

• Credenciales de acceso a cuentas de Google y otros servicios web
• Contraseñas almacenadas en navegadores como Chrome, Edge, etc.

El keylogger envía automáticamente los datos robados a través del protocolo SMTP. El tráfico de exfiltración se corroboró mediante análisis de datos a nivel de red, lo que confirmó que las credenciales se transmiten sin cifrar.

Indicadores de compromiso del malware.

• Familia de Malware: VIPKeylogger

• Puertos: 25, 587 y 465

• Envío de credenciales SMTP User: cv@smc-energy.com

• SMTP password:  lcdcv23

• Correo hacia donde se envían las credenciales: cartoonwa11@gmail.com

• Dominio del servidor de correo: mail.smc-energy.com

• DNS Request: reallyfreegeoip.org

• Conexión con IP maliciosa: 104.21.16.1

Recomendaciones

Realizar capacitaciones en Ciberseguridad al personal haciendo énfasis en el impacto y reconocimiento del Phishing.

Referencias

• ANY RUN
• Virus Total
• Información de X / Twitter