Hola a tod@s!!

Me ha llamado este malware la atención debido a quién tratan de suplantar y que Any.run no le ha puesto nombre al malware, así que saldremos de dudas, ¿será alguno que hemos visto recientemente? : Any.run

Comprobante de pago Any.Run Malware

Vamos a ver el aspecto del correo y el adjunto que trae:

Malware Adjunto BBVA

Ya por el dominio nos debería hacer sospechar, este correo no procede del BBVA. Y tiene un fichero adjunto en formato Excel. Oleid nos avisa que tiene macros.

Oleid , ficheros con macros

Y Olevba nos dice que tiene cadenas hexadecimal sospechosas:

Olevba Cadenas sospechosas
Hay que desconfiar, sobre todo si descarga algo como esto, un nombre demasiado largo. xD
Nombre de fichero muy largo

Este fichero no es un doc sino un rtf y Any.run da en el clavo con el exploit que utiliza: cve-2017-11882. Un indicador de esto sería la aparición del proceso EQNEDT32.EXE, como se ve en el árbol de procesos.

 Vemos como se ha descargado un fichero vbs.

Proceso EQNEDT32

Si editamos el mismo y realizamos una serie de modificaciones al final, podemos ver la URL desde donde descarga algo:

Ejecuta VBS

Un fichero vbs, este sería su contenido:

Contenido VBS del malware

Cogemos Cyberchef y hacemos lo mismo que indica el comando powershell.

Cyberchef y el análisis de malware

Tenemos un par de imágenes (son la misma imagen en 2 url diferentes):

Imágenes del malware

Esta imagen guarda código base64 en su interior.

Incrustar código en la imagen de un malware

Una vez extraído tendremos el malware final, pero antes, hablaremos de la url que se encontraba al revés, al igual que su contenido codificado en base64, todo al revés. Esta es una DLL que pondrá en memoria el otro artefacto, el malware final, no pisará disco por lo que será más difícil detectarlo.

DLL en memoria , sin pisar disco

Y llegamos al malware final y que todos estábamos esperando, se trata de… el stealer ¡AgentTesla! del que ya hablamos . 

Me voy directo a la configuración, si queréis ver más información sobre las acciones que realiza, podéis verlas en el enlace anterior.

AgentTesla Malware BBVA

Es raro que Any.run no diga el tipo de malware que es, se ha quedado en alguno de los pasos y no ha podido extraer el malware Agenttesla y eso que se suele equivocar poco y menos en estos casos, pero como veis, no siempre se ejecuta todo correctamente en una sandbox.

Espero que os haya gustado el post y tened cuidado con este tipo de correos, si el dominio no tiene relación con el banco del que procede, desconfiad. Si trae algún adjunto, desconfiad, los bancos no envían este tipo de ficheros por correo.

Como está muy de moda usar ChatGPT, aquí tenéis algunos consejos o recomendaciones para prevenir el phishing de correos con adjuntos:

  1. Sé escéptico con los correos electrónicos y mensajes sospechosos: Los correos electrónicos o mensajes que solicitan información personal, financiera o de inicio de sesión son a menudo intentos de phishing. Verifica siempre la autenticidad de estos mensajes antes de responder.
  2. No hagas clic en enlaces o descargues archivos de fuentes desconocidas: Los enlaces en correos electrónicos o mensajes pueden dirigirte a sitios web falsos diseñados para robar tu información. Si tienes dudas sobre la legitimidad de un enlace, visita el sitio web oficial directamente introduciendo la URL en tu navegador.
  3. Verifica la URL del sitio web: Asegúrate de que estás en un sitio web legítimo verificando la URL en la barra de direcciones de tu navegador. Los sitios de phishing pueden tener URLs que se parecen a las de sitios legítimos, pero con pequeñas diferencias.
  4. Busca señales de seguridad en los sitios web: Antes de ingresar información personal o financiera en un sitio web, verifica que la URL comience con "https://" y busca el icono de un candado en la barra de direcciones, lo que indica una conexión segura.
  5. Utiliza soluciones de seguridad: Mantén actualizado tu software de seguridad, como antivirus y firewall. Estas herramientas pueden ayudar a detectar y bloquear sitios web y descargas maliciosas.
  6. Educación continua: Mantente informado sobre las últimas tácticas de phishing. Los estafadores siempre están buscando nuevas formas de engañar a las personas, por lo que es importante estar al tanto de las últimas técnicas de phishing y cómo evitarlas.
  7. Usa la autenticación de dos factores (2FA): Incluso si un atacante obtiene tu contraseña, la autenticación de dos factores puede proporcionar una capa adicional de seguridad al requerir una segunda forma de verificación para acceder a tu cuenta.
  8. Revise sus cuentas regularmente: Verifica tus cuentas bancarias y de tarjetas de crédito regularmente para detectar cualquier actividad inusual que podría indicar un fraude.
  9. Educación a familiares y amigos: Comparte esta información con tus seres queridos, especialmente aquellos que pueden no estar tan familiarizados con las tecnologías digitales. Ayudarlos a entender cómo protegerse puede evitar que se conviertan en víctimas.

Hacedle caso ;)

¡Hasta otra!