Investigaciones realizadas por Trend Micro han descubierto un nuevo malware de Botnet modular llamado “Novter” que utiliza el malware de botnet Kovter para ser distribuido por medio de malvertising y kits de explotación.
Los ataques son de ingeniería social ya que llevan al usuario de Internet a que descargue un paquete de software necesario para actualizar supuestamente una aplicación obsoleta de Adobe flash de un sitio web infectado, sin embargo en lugar de realizar la actualización de dicho software, hace un drop de un archivo de aplicación HTML malicioso para que la víctima ejecute el archivo HTA y pueda cargar un scripts adicional desde un servidor remoto y ejecutar un script PowerShell.
Una vez que se ejecuta el script de PowerShell a su vez deshabilita los procesos de Windows defender y Windows Update , ya que el malware ejecuta un código de Shell para omitir el control de cuentas de Usuario (UAC) a través de la interfaz COM CMSTPLUA (vinculada con la gestión de la conexión).
El malware se comunica con sus servidores command and control y descarga múltiples módulos de JavaScript para diferentes propósitos.
Se recomienda lo siguiente:
Producto | Versión |
---|---|
Microsoft Windows |
7 8 8.1 10 |
Tipo | Indicador |
---|---|
url | http://37.1.223.178/qmuw3fw... |
url | http://37.1.223.178/qmuwwed... |
url | http://1065695240.rsc.cdn77... |
url | http://1118069275.rsc.cdn77... |
url | http://bo0uiomeglecaptures.net |
url | http://uoibppop.tk |
ip | 5.61.42.103 |
ip | 37.1.221.156 |
ip | 37.252.8.85 |
ip | 37.252.10.66 |
ip | 91.247.36.14 |
ip | 92.187.110.52 |
ip | 185.243.114.53 |
hash | 4dec45889e09ec3ceb63fd65825... |
hash | d41d8cd98f00b204e9800998ecf... |
hash | a465cdce3480a252e45ad4943cb... |
hash | d41d8cd98f00b204e9800998ecf... |