Hackers distribuyen Malware Zeus Sphinx a través de documentos Word mal formados
ccastrol
2 min read
Investigadores descubrieron una nueva campaña de malware-spam a través de la cual los ciberdelincuentes lanzan el malware Zeus Sphinx a través de documentos informativos de Coronavirus Lure Malformed MS.
Dado que la nueva pandemia de coronavirus se está extendiendo rápidamente de país a país, los actores de amenazas aprovechan las noticias de tendencia para tentar a las víctimas y atacan sus sistemas a gran escala con campañas de spam.
Maldoc Spam Delivery
Los ciberdelincuentes aprovechan la tendencia del tema COVID-19 para distribuir el documento de Word Malformed MS a través de campañas de phishing y spam.
El correo electrónico no deseado insta a las víctimas a abrir el archivo adjunto y llenar el documento para recibir una compensación del Gobierno, y están distribuyendo una variedad de documentos y la mayoría de los documentos con archivos .doc o .docx
Más tarde, el documento solicitó a las víctimas que permitieran ejecutar una macro para activar la cadena de infección y terminan secuestrando el proceso de Windows para obtener el descargador de malware.
El descargador de malware luego se comunica con el servidor de comando y control para obtener en nuevo payload del malware Zeus Sphinx.
La nueva variante Zeus Sphinx comienza con el documento armado que crea una carpeta maliciosa en %SYSTEMDRIVE% y escribe un archivo por lotes en ella.
Indicadores de Compromiso – IoC
Maldoc
DFF2E1A0B80C26D413E9D4F96031019CE4567607E0231A80D0EE0EB1FCF429FE
Samples
VBS sample: 2FC871107D46FA5AA8095B78D5ABAB78
Sphinx samples:
C8DFF758FEB96878F578ADF66B654CD7
70E58943AC83F5D6467E5E173EC66B28
7CA44F6F8030DF33ADA36EB35649BE71
8A96E96113FB9DC47C286263289BD667
C6D279AC30D0A60D22C4981037580939
Puntos objetivos de la amenaza
- Todos los usuarios que utilizan sistemas Windows con Microsoft Word
- Sobre todo, aquellos que tienen accesos para instalar programas en las PC’s, los documentos en esta alerta pueden ser descargados al sistema a través de correos electrónicos o páginas web no confiables.
Nuestras recomendaciones
- A todos los usuarios que usan Microsoft Word, tener mucha precaución con los documentos de noticias referentes al COVID-19, inclusive cualquier otro de dudosa procedencia
- En estén presentando una lentitud inusual con sus sistemas, reportarlo con su área de soporte inmediatamente.
- Al equipo de Tecnología, se recomienda difundir esta alerta a los usuarios de su compañía
- Registrar los hash IoC en los sistemas de seguridad de Endpoints, a fin de prevenir y detectar esta amenaza
Referencias
Fuente 1: Hackers Spreading Zeus Sphinx Malware to Hijack Windows Process Using Malformed Word Documents
Fuente 2: Zeus Sphinx malware resurrects to abuse COVID-19 fears
- Docker en Linux
- Noticias de Ciberseguridad, semana 5
- MailChimp sufre una brecha de seguridad y compromete información de clientes.
- Instalación GLPI 10.0.1 en Ubuntu Server 22.04
- Trabajando con directorios
