CIBERDELINCUENTES SUPLANTAN LA APLICACIÓN ZOOM

10/01/2023

BOLETÍN NRO 2023-019

Recientemente investigadores advirtieron de una aplicación Zoom modificada que fue utilizada por los ciberdelincuentes en una campaña de phishing para distribuir el malware IcedID.

Servicios Afectados

• Sistemas operativos Windows

Detalles Tecnicos

CVE: ---                                    Severidad:   ALTA

El troyano bancario IcedID apareció por primera vez en 2017, tiene capacidades similares a otras amenazas dirigidas al sector bancario como Gozi, Zeus y Dridex. Los expertos que lo analizaron por primera vez notaron que la amenaza no toma prestado código de otro malware bancario, pero el código malicioso implementa capacidades comparables, incluido el lanzamiento de ataques man-in-the-browser, interceptar y robar información financiera de las víctimas.

El malware IcedID suele propagar campañas de publicidad maliciosa utilizando documentos de Office. Sin embargo, en esta campaña, los ciberdelincuentes utilizaron un sitio web de phishing, imitando el sitio web legítimo de Zoom, para distribuir el malware IcedID.

La página de phishing era una copia exacta al sitio web legítimo de Zoom de esta manera pretendían engañar a los usuarios para que descargaran el malware IcedID.

La página de destino del sitio web contenía un botón de descarga. Al hacer clic en el botón, el sitio entregaba un archivo instalador de Zoom desde la URL: hxxps[:]//explorezoom[.]com/products/app/ZoomInstallerFull[.]exe. El análisis realizado por los especialistas de seguridad reveló que el archivo era una versión del malware IcedID.

Al ejecutar el "ZoomInstallerFull.exe", el malware deja caer los binarios ikm.msi, maker.dll en la carpeta %temp%. El "maker.dll" es una librería maliciosa utilizada para realizar diversas actividades maliciosas e iniciar el malware IcedID, mientras que "ikm.msi" es un instalador legítimo de la aplicación Zoom.

Una vez instalado, el malware IcedID intenta conectarse al C2. Si el malware puede conectarse con éxito al servidor C2, puede soltar una payload adicional en el directorio %programdata%.

Indicadores de Compromiso

IP

143[.]198[.]92[.]88

Dominio

landiscloudlord[.]red

kostafootball[.]info

kostacardsplayer[.]pro

countrylandlords[.]info

trbiriumpa[.]com

explorezoom[.]com

Hash

MD5: aeb04e767a408e5ac643cd467751afff

SHA-256: 9108e1d22d74bc5397b8886edc4f0a84b8906436a648ef8a86f30cf7e08978dd

MD5: c97d41e563c07d771cd661533ad4ede7

SHA-256: 3c9cd4cf008ed70df41cc270c77055f6edac139ec7ec2a9c3de1b21c1a294ca7

MD5: f0f6d923c6dc84408d7e8ac643b56244

SHA-256: 2f3dddb9952e0268def85fbe47f253056077894ce6bd966120654324787b83be

MD5: df2a9583bf9c53ae689980981f03d6fa

SHA-256: a6a980874e5665a640fe1a3129d6b9bfe2d06172ed8facc402d6bfe2e3fbb4ea

MD5: 87c56fd5eb3eccaf9386e41a073751cd

SHA-256: f296dd19cf450b1a7245399f4b3d988402c0317f7cd0ecaff89a95ebe85fe060

MD5: 1be32c6b58828d6502b3e100d7f04632

SHA-256: c20d5a10e8c60055c766c168c181fa2f5c75cfd24d8274668dea82c024b90666

MD5: f934c0b96db257db957a0ed1dd4bcd3b

SHA-256: a432eef42bc7aae01c7b7a7fa3df1159f074919e74895aa1b104ed4a92c118e6

MD5: c6e1a2bfde3ebffc8280df467e93adcc

SHA-256: a1e81732c17f693ed057929dfb654660969545a282c6aec3a8e72d8c646ddaaa

MD5: a42b759340e5e15ee83c0169fdc9d62b

SHA-256: 8b5159a7ad5593248215c5fd1419705b985e3c4d2bf62eb0229b441bd504dcf0

MD5: ad8fffb8ec472ca3c2f1d3136f557fe5

SHA-256: 71db7f4a77ca923d72f3eb28429073b2d848611075266b7d61096395428f80a2

MD5: faa842db922208cf8a3547a5312c4b0a

SHA-256: 6de0c4280b75af0b2caa29704df145e57acd143f6fa83b5b977279b522f4debb

MD5: 0d3b8e353f18fce7b21faee57a3b7c84

SHA-256: 4f057cddf31c2f2bf542f9c84769f2af336399b6b1707bc4864a0a178390dd7a

MD5: 700e0859c841bb6485bbbdc91a1e6342

SHA-256: 496fad9b75d8e9ea980c27331379a058f5b7a1f8fe4c44126a39d3e2c69701c9

MD5: 14e8408fade76d8bc1fb542610c60e5b

SHA-256: 476471db11b7953797d9e8b6d04a7bcc4b8a6866e08505b045f82f02d99d6642

MD5: a3f224fc60ef43f0ca8de3e84c3b8869

SHA-256: 350726a11841a3538ffa69b40f7e1cd47856c5e9ce99d1fa307273ee7f2aa9fc

MD5: 1811dd8de2df575f2400c70dc6bd194d

SHA-256: 1a85b4775c4d5313827faf559a7b5599c85c334c78e536d0c3698d0ae6617f4a

MD5: d2347d10d93bc41bb0e4aec214c49be1

SHA-256: 0a784d692903f39c53b378c5828bb3db8f94ac28c518bbe4966e38eba3219752

MD5: 8c5a68f7e91968815cd4495c0cfc3129

SHA-256: 052e3c2f0054f70c7885eb3ba38b0eb5c5b7884ec7c1759608e158e2aa9103e5

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

• Fuente 1: Cyber researchers warn of a modified Zoom app that was used by threat actors in a phishing campaign to deliver the IcedID Malware
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​