Troyano - Citación Fiscalía General de la Nación

Advertencia

Siempre recomendamos que cualquiera de las actividades descritas haya sido aprobada explícitamente por el (los) objetivo (s) dentro del alcance de una prueba de penetración autorizada y que lleve consigo una copia de una carta de autorización en todo momento.

Toda la información proporcionada en este sitio es solo para fines educativos. El sitio y los autores del sitio web no son responsables en ningún caso del uso indebido de la información.

Categoría: Seguridad de la información

Troyano - Citación Fiscalía General de la Nación

by Juan Oliver Publicado el 31 de agosto de 2018

En días pasados recibí en mi correo por segunda vez, un comunicado que decía ser de la Fiscalía General de la Nación, en el que me llaman a interrogatorio “para declaraciones y pruebas al respectivo proceso”. También dice que “Este interrogatorio tiene como objetivo la aclaración de hechos contundentes.”. el correo electrónico contiene un archivo comprimido en “.rar”, del cual les hablaré más adelante. Pues bien, me puse a la tarea de revisar los datos de origen del mensaje y encontré lo siguiente:

Mon, 27 Aug 2018 20:57:02 +0000 Authentication-Results: spf=fail (sender IP is 107.190.138.15) Received-SPF: Fail (protection.outlook.com: domain of fiscalia.gov.co does not designate 107.190.138.15 as permitted sender)

Como pueden observar, marqué la IP desde donde se envió el correo electrónico y revisé de donde era, encontrando que la ubicación del servidor es en Orlando, Florida, USA., pensé entonces, “bueno, tal vez al usar un servicio de Microsoft el servidor puede estar ubicado allá”. Así que me puse en la tarea de buscar la ubicación del servidor de correo de la Fiscalía y encontré que desde la ciudad en donde estoy, Cartagena, el servidor al que me direcciona se encuentra en Barranquilla:

Georeferenciación IP

Pero lo anterior no es concluyente, entonces busqué el listado oficial de IP´s de Microsoft para los servicios de Office 365, el cual se puede encontrar en la dirección: Direcciones IP, encontrando que la dirección mostrada en el origen del mensaje (107.190.138.15), no se encuentra dentro de dicho listado.

En otros datos del origen del mensaje se puede observar una referencia a un sitio web llamado junglakumba.com, al revisar la información sobre este sitio descubrí que es un host dinamico alojado en hostdime.com que corresponde a un restaurante en Bogotá y cuyo registro aparece a nombre de un usuario “anoriega”.

smtp.mailfrom=fiscalia.gov.co; outlook.com; dkim=pass (signature was verified) header.d=junglakumba.com;outlook.com; dmarc=none action=none header.from=fiscalia.gov.co;

X-Get-Message-Sender-Via: vps.junglakumba.com: authenticated_id: anoriega@junglakumba.com X-Authenticated-Sender: vps.junglakumba.com: anoriega@junglakumba.com X-IncomingHeaderCount: 18 Return-Path: notificaciones@fiscalia.gov.co X-MS-Exchange-Organization-ExpirationStartTime: 27 Aug 2018 20:57:01.7324

Todo esto lo que genera es más confusión y hace sospechar un poco más sobre un intento de phishing, así que me puse en la tarea de revisar el archivo comprimido.

Luego de descomprimir el archivo adjunto en el correo y haciendo uso de Kaspersky Total Security, realicé un análisis del archivo. Dicho análisis encontró lo que se muestra en la siguiente imagen:

Resultado escáneo Kaspersky

En esta imagen logramos comprobar que el archivo de Word dentro del comprimido tiene código malicioso:

Datos desinfección Kaspersky

El resultado en detalle muestra que el archivo está infectado en las macros con el troyano llamado Trojan-Downloader.MsWord.Agent.byk, hay que tener en cuenta que cada antivirus tiene su nomenclatura propia a la hora de nombrar virus, troyanos y otros males informáticos. El malware de esta familia consiste en un documento .doc o .docx que contiene un script que se puede ejecutar en Microsoft Word (Visual Basic para Aplicaciones). La secuencia de comandos contiene procedimientos para destruir, bloquear, modificar o copiar datos, además de interferir con el funcionamiento de computadoras o redes de computadoras. En resumen, este troyano se encuentra a nivel de macros VBA. Es por esto que deben estar bien configuradas las reglas de apertura de archivos con macros y no confiar en todo. TrojanDownloader: Win32 / Agent es una familia de troyanos que descargan software no deseado de un sitio web remoto. El contenido descargado podría incluir desde troyanos de descarga adicionales hasta programas de seguridad de imitación. La calificación de seguridad de estos troyanos está catalogada como Severo.

Algunos alias que recibe este troyano son:

Recomendaciones generales para no infectarse de estos malware´s

Compartir