Descubren una campaña de malspam que utiliza temas de correo electrónico románticos y atractivos para engañar a sus víctimas, infectándolas con ransomware, cryptomining y mucho más.
La campaña incluye Asuntos como “Carta de amor”, “Te quiero” y “Esta es mi carta de amor para ti”. Adjunto a los correos de malspam -que llegan directamente a la Bandeja de Entrada y no a Correo No Deseado- viene un archivo ZIP llamado Love_You_14473721-2019-txt.zip, que contiene un archivo de JavaScript ofuscado. Si el usuario lo abre, se ejecuta un comando de PowerShell que descarga el malware krablin.exe desde slpsrgpsrhojifdij[.] Ru y lo ejecuta.
El archivo krablin.exe se copia a %UserProfile%\[número]\winsvcs.exe e intenta descargar otros 5 malwares, entre ellos el ransomware GandCrab, el minero XMRig y el spambot Phorpiex.
Se recomienda lo siguiente:
-Escanear los archivos adjuntos utilizando el antivirus.
-Comunicarse con el remitente para confirmar si el archivo del correo es confiable.
-Bloquear los nombres de los que archivos con el nombre “Love”, “Love_You” “Luv_You” u otros que contengan este tema.
-Asegurarse de que los archivos .js estén bloqueados en el correo, si no son necesarios.
-Bloquear todas las IoC basadas en la URL e IP en el firewall, IDS, puertas de enlace web, routers u otros dispositivos basados en el perímetro.
-Asegurarse de que el equipo de SOC monitoree la actividad del ransomware y la actividad anormal de las ejecuciones de Powershell.
-Configurar de manera más estricta el anti spam.
| https://gbhackers.com/malspam/ |
| https://www.bleepingcomputer.com/news/secu... |
| Producto | Versión |
|---|---|
| Microsoft Windows |
7 8 10 |