Descubren malware BabyShark en Excel malicioso

27 Febrero 2019
Crítico

Investigadores de Palo Alto descubrieron un malware llamado BabyShark que infecta a sus víctimas a través de spear phishing, lo que lo convierte en un malspam. Los correos electrónicos dirigidos contienen un excel malicioso adjunto. Si el usuario habilita la macro del archivo, ésta descarga Microsoft Visual Basic (VB), script basado en el malware mencionado.

Luego, el script agrega las claves de registro y lanza una secuencia de comandos para obtener la información de la víctima, su dirección IP, el nombre del sistema, las tareas en ejecución y las versiones. El malware codifica los datos obtenidos utilizando certutil.exe y luego los carga al servidor C2; agrega la clave de registro para garantizar la persistencia y espera los comandos del servidor C2.
De acuerdo a los investigadores, el e-mail parece provenir de un experto en seguridad nuclear en EE.UU. También descubrieron que BabyShark estaba asociado con campañas anteriores de Corea del Norte, como KimJongRAT y STOLEN PENCIL, pues utilizan la misma ruta de archivo para almacenar la información recopilada y el mismo certificado de firma de códigos, respectivamente.

Se recomienda lo siguiente:

- Realizar campañas comunicacionales permanentes dirigidas a clientes y colaboradores de las organizaciones afectadas, que expliquen el funcionamiento del phishing y malspam: sus peligros y cómo actúa para engañar a sus víctimas e infectar sus equipos.

- Generar regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.

- Configurar de manera más estricta el anti spam.

- Comunicarse con el remitente para confirmar si un archivo adjunto es confiable.

- Aprender a detectar correos electrónicos sospechosos que utilizan nombres de empresas reales y adoptan su imagen.

- Nunca entrar a páginas web de empresas por medio de links.

- Nunca seguir la instrucción de deshabilitar las funciones de seguridad y las macro, si un correo electrónico o documento lo solicita.

- Escanear los archivos adjuntos de un correo electrónico, utilizando el antivirus.

- Tener activado el UAC (control de cuentas de usuario) de Windows.


Tags: #babyshark #excel #microsoft #visualbasic #vbs #malspam #malware


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.