21/07/2023    

BOLETÍN NRO 2023-542

El malware DoubleFinger, equipado con una estrategia de ataque de múltiples etapas que se asemeja a una amenaza persistente avanzada (APT). 

El malware funciona iniciando una serie de eventos desencadenados por un adjunto de correo electrónico malicioso que contiene un archivo PIF. Una vez abierto el archivo adjunto, el malware DoubleFinger descarga componentes cifrados de una plataforma de intercambio de imágenes que disfraza los archivos como imágenes PNG. Estos componentes incluyen un loader para las etapas posteriores, un archivo java.exe legítimo y otro archivo PNG que se utilizará más adelante en el ataque.

El análisis técnico de GreetingGhoul realizado revela su doble funcionalidad. El primer componente identifica las aplicaciones de cripto-carteras dentro del sistema y roba datos valiosos, incluyendo claves privadas. El segundo componente se superpone a las interfaces de las aplicaciones de criptodivisas, intercepta las entradas de los usuarios y otorga a los ciberdelincuentes el control y el acceso a los monederos virtuales de las víctimas.

Cabe destacar que otras variantes del malware DoubleFinger también instalan el troyano de acceso remoto Remcos, que otorga a los ciberdelincuentes el control total del sistema infectado. El malware Remcos lleva operando desde 2016. Este al igual que otras RAT, ofrece al ciberdelincuente completo sobre los dispositivos infectados, lo que le permite registrar pulsaciones de teclas, contraseñas y otra información sensible. Además, incorpora varias técnicas de ofuscación y antidepuración para evadir la detección. 

También se observó una campaña de phishing usando Remcos RAT que estaría dirigido a Colombia.

Indicadores de Compromiso

IP

104[.]102[.]40[.]139

2[.]18[.]66[.]65

2[.]18[.]66[.]43

104[.]80[.]243[.]160

Dominio

files[.]catbox[.]moe 

dieciocohoroem[.]duckdns[.]org

veinticuatroremc[.]duckdns[.]org

carlosperdomoremser[.]con-ip[.]com

treintaynueverem[.]duckdns[.]org

ricardocuetoren[.]con-ip[.]com

santiagocervantes[.]con-ip[.]com

veintiochoremc[.]duckdns[.]org

carlosperdomoremser[.]con-ip[.]com[:]2424

URL

hxxps://files[.]catbox[.]moe/uf2ohr.pdf

Hash

MD5: 64611d5ff7b6d6031585a8e0639d221d

SHA-256: ff107c629669e75b9222bcc03dd6287da864b356fff8c5bd832f333b8e420b25

MD5: b7b4a1c67da24e204062cfb9c78d108a

SHA-256: febf38467b525debea5be53d3c00131d2c3118158c2efbf38e208c29a4371cc3

MD5: fcb412be7720ab37e0044522af74f29f

SHA-256: fe7722f5fdc879e0c0844ffefadf42d448dc9a938e91d663e6fb7f1074fb0ecb

MD5: 97ff7be1c2b777fde6bb8565f54bfdbc

SHA-256: fc7e982cd2c3b70184d8f17af2e2edad8467ccedb22902c7f686023355f94f38

MD5: 1c3a7f732ef5cee156abf9fbcf82e782

SHA-256: fbfde73540d40864d6996d11d473ca3cb498b02a7d6819439bd57bca2aefd59c

MD5: 3b03be4818948042f8525c7531070146

SHA-256: f9aef9ed97e860fa148c262b5daa599c1d6a00011a89d04709bc6aafdba10a75

MD5: 5ca7cbc37e35a9810ddf8e4e7aea17c9

SHA-256: f99e1dc9e4068ef2b8d7294340de76c5338e9dfb718dee3804793dd02ebda33f

MD5: 6ab2204fcce7db922b5c5333764a70e9

SHA-256: f8bedd18ad84b9df1bd9e19e37df72d304c4a00afbd5a0a3286fae15c32d18ff

MD5: 7f301f1443cb5156050f28c97e5e465c

SHA-256: f89aacb2c1c9d60e078ba59e7a1eab4ff05c8bf94fea2611735b94dacb7a8c9b

MD5: ad755675eb984524e61ddb7baa72b14d

SHA-256: f82c643baf10986a8ad197d2565b7a093aa1eef8b9d4463f4a42d3cc81a45b8f

MD5: aff92b2a3a2d7519fa278a0fc1431011

SHA-256: f7ecefbcf3572d8b3f40ab5c23b1a62366bb8d49b603b3d54e4b46bcd6779eee

MD5: d00a46f5daea7a5705d7d77cba001ffb

SHA-256: f7dd09c86b9eac79499a0f210a294906a2c40978b579613f2d49273cfeac0bc4

MD5: a65d2e4684c27d2b2f6f564f297a07dc

SHA-256: f74114f7306666720ea784e9908aa1b5893354b5d868dde1217aec56122601fa

MD5: 0f48cb3182a6fbf4fe385465b6d7c795

SHA-256: f60667b9e2a0a25221cdb47844149beb3b1cd08abbc3360e8684fad9d8aaa20e

MD5: a95530ebec578129a6660689d22748ac

SHA-256: f5d1fc94cef9d62e567ed313b3168c13ef86cd12b8ba786caec5572494eccf57

MD5: c5254c4eca5c0de71172fe5a9adc1c1a

SHA-256: 4c29b1a43b4155c751f29e263cdfa02b88df61d32547e2d21c7b5a6cff7bf3a0