Lanzan Ransomware y CryptoMining a través del malspam Love_You

22 Enero 2019
Medio

Descubren una campaña de malspam que utiliza temas de correo electrónico románticos y atractivos para engañar a sus víctimas, infectándolas con ransomware, cryptomining y mucho más.

La campaña incluye Asuntos como “Carta de amor”, “Te quiero” y “Esta es mi carta de amor para ti”. Adjunto a los correos de malspam -que llegan directamente a la Bandeja de Entrada y no a Correo No Deseado- viene un archivo ZIP llamado Love_You_14473721-2019-txt.zip, que contiene un archivo de JavaScript ofuscado. Si el usuario lo abre, se ejecuta un comando de PowerShell que descarga el malware krablin.exe desde slpsrgpsrhojifdij[.] Ru y lo ejecuta.

El archivo krablin.exe se copia a %UserProfile%\[número]\winsvcs.exe e intenta descargar otros 5 malwares, entre ellos el ransomware GandCrab, el minero XMRig y el spambot Phorpiex.

Se recomienda lo siguiente:

-Escanear los archivos adjuntos utilizando el antivirus.

-Comunicarse con el remitente para confirmar si el archivo del correo es confiable.

-Bloquear los nombres de los que archivos con el nombre “Love”, “Love_You” “Luv_You” u otros que contengan este tema.

-Asegurarse de que los archivos .js estén bloqueados en el correo, si no son necesarios.

-Bloquear todas las IoC basadas en la URL e IP en el firewall, IDS, puertas de enlace web, routers u otros dispositivos basados en el perímetro.

-Asegurarse de que el equipo de SOC monitoree la actividad del ransomware y la actividad anormal de las ejecuciones de Powershell.

-Configurar de manera más estricta el anti spam.


Tags: #ransomware #loveyou #malspam #cryptomining #zip #javascript


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.