Novedades - Title-Box

Novedades

Noticias, alertas y reportes que ayudan a mantenerte informado

NUEVA ACTUALIZACIÓN DE URSNIF

21/10/2022

BOLETÍN NRO 2022-606

Esta nueva variante de URSNIF denominada LDR4, cambió de ser un malware que se utilizaba para el fraude bancario, a convertirse en un backdoor genérico. Posiblemente fue creada a propósito para permitir operaciones como ransomware y extorsión de robo de datos.

Servicios Afectados

• Sistemas operativos Windows

Detalles Tecnicos

CVE: ---

Severidad: ALTA

Los analistas de seguridad sospechan que los mismos ciberdelincuentes que operaron la variante RM3 de URSNIF, probablemente estén detrás de LDR4. Dado el éxito y la sofisticación que tuvo RM3 anteriormente, LDR4 podría ser una variante significativamente peligrosa, capaz de distribuir ransomware.

Se observó por primera vez el LDR4 en el 23 de junio de 2022, a través de un señuelo relacionado con el reclutamiento, similar a la distribución de RM3 informada en abril de 2021. El correo electrónico contiene un enlace a un sitio web comprometido que redirige a un dominio que se hace pasar por una empresa legítima. Se presenta un desafío CAPTCHA para descargar un documento de Excel que supuestamente contiene información relacionada con el señuelo de correo electrónico. Este documento luego descarga y ejecuta la el payload LDR4. Posteriormente se observó una cadena similar que conducía a LDR4 pero con un señuelo perteneciente a un software de contabilidad en su lugar.

Además de recursos humanos/reclutamiento, los analistas de seguridad observaron RM3 en los señuelos de pago/factura más convencionales que aprovechan las macros XLM 4.0 en archivos adjuntos de documentos de Excel para descargar el payload. En abril de 2022, fue su última distribución a través de UNC2420 como un payload descargado del documento MOTEISLAND.

Los expertos en seguridad catalogaron a UNC2420 como un grupo de amenazas de distribución que usa documentos maliciosos de Microsoft Word como archivos adjuntos en campañas que usan asuntos que parecen ser respuestas a cadenas de correo electrónico legítimas.

Indicadores de Compromiso IP

5[.]182.36.248

5[.]182.37.136

5[.]182.38.43

5[.]182.38.68

5[.]252.23.238

45[.]8.147.179

45[.]8.147.215

45[.]67.34.75

45[.]67.34.172

45[.]67.34.245

45[.]67.229.39

45[.]89.54.122

45[.]89.54.152

45[.]95.11.62

45[.]140.146.241

45[.]142.212.87

45[.]150.67.4

77[.]75.230.62

77[.]91.72.15

94[.]131.100.71

94[.]131.100.209

94[.]131.106.8

94[.]131.106.16

94[.]131.107.13

94[.]131.107.132

94[.]131.107.252

141[.]98.169.6

185[.]250.148.35

88[.]119.112.104

193[.]38.54.157 Dominio

astope[.]xyz

binchfog[.]xyz

maldito[.]com

daydayvin[.]xyz

dodsman[.]com

dodstep[.]cyou

multa[.]xyz

dedo[.]cyou

perro-pez[.]xyz

gigantes[.]xyz

gigeram[.]com

gigiman[.]xyz

gigimas[.]xyz

higmon[.]cyou

isteros[.]com

niño[.]xyz

leónnik[.]xyz

logotep[.]xyz

principal [.] xyz

mamount[.]cyou

minotos[.]xyz

pinki[.]cyou

pipap[.]xyz

premios[.]cyou

motivo[.]xyz

rorfog[.]com

tornado[.]xyz

vavilgo[.]xyz HASH

MD5: 87e1731cbb5f234dfa382203d0a658f5

SHA-256: 70842ada0a36eb9448797c4168bd46ac6d523cfccf6e53f79f8e40f2d5c1a257

MD5: 8c658b9b02814927124351484c42a272

SHA-256: 1480777c361ac1d398cc26c90215de629733f66d60dcbd5970700db0ce786ae1

MD5: 9f68d1a4b33e3ace6215040dc9fc73e8

SHA-256: d2fc2e2b90b23c2a91e144fd8ac22668dd682f7d0145963615203d087c48aca4

MD5: baa784967fd0558715f4011a72eb872e

SHA-256: c2b80b8cbd660c3208162ed596e0443ea8f786b6fd1f809f2d2a1e07fe6475cd

MD5: bea60bab50d47f239132890a343ae84c

SHA-256: 74b57e264dd84cbb7c4e1a7eb8a8dbdb932f01ac34e48e2e6d41ab82f05c682f

MD5: d38f6f01bb926df07d34de0649f608f6

SHA-256: b59430d733e346aef69dc5992cee0f06d8dbfca7744d212159528c89d1008953

MD5: d6ef4778f7dc9c31a0a2a989ef42d2fd

SHA-256: 54de1f2c26a63a8f6b7f8d5de99f8ebd4093959ab07f027db1985d0652258736

MD5: d94657449f8d8c165ef88fd93e463134

SHA-256: 2502a3f8c9a6a8681f9222e93b14e077bf879e3009571c646ee94275bc994d01

MD5: eee617806c18710e8635615de6297834

SHA-256: 12d88935437064d8478bc4adec0c0042fb73da774905004c7de55e559729e15c

MD5: f4b0a6ab164f7c58cccce651606caede

SHA-256: 88de34ad95486071b8796d95150461a8a7968d1eb8817772e892d258f3aa1c91

MD5: 00b981b4d3f47bcbd32dfa37f3b947e5

SHA-256: 5d1dbec0a0fb5014c387c308a83c9259774713219d283cd3653897b527e83713

MD5: 09bc2a1aefbafd3e7577bc3c352c82ad

SHA-256: 6039fcf4b3d79f847f7b545ae0d7767a4d58e12721b049b04ade6550eef549b9

MD5: 58169007c2e7a0d022bc383f9b9476fe

SHA-256: 082c51164b2c20ff163f2640313c81cd64a26ff9790d3570e5cde857fa93272a

MD5: a3539bc682f39406c050e5233058c930

SHA-256: f7c5b8ea8de9aad8ea2661e79636a87a4a5949217cfbe5e97fcef4fb881701af

MD5: cde05576e7c48ca89d2f21c283a4a018

SHA-256: 78fed40495b176adaf7093f946a1ee07cd7cf455858804e08446571bc8be799a8

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

Fuente 1: From RM3 to LDR4: URSNIF Leaves Banking Fraud Behind
Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros:

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

Asset Publisher

Reporte

125 Reporte Quincenal de Ciberinteligencia 2025

Seguir leyendo

Reporte

124 Reporte Quincenal de Ciberinteligencia 2025

Seguir leyendo

Reporte

123 Reporte Quincenal de Ciberinteligencia 2025

Seguir leyendo

Visión y Misión

Hitos

Reconocimientos

Data Security

Endpoint Security

Cloud Security

Application Security

Networking Security

Ciberinteligencia

Consultorías

Consultoría de seguridad

CyberSOC

Ingeniería de productos

Secure Academy

Search Bar

Novedades - Title-Box

Novedades

Noticias, alertas y reportes que ayudan a mantenerte informado

NUEVA ACTUALIZACIÓN DE URSNIF

NUEVA ACTUALIZACIÓN DE URSNIF

Servicios Afectados

Detalles Tecnicos

Recomendaciones

Fuente

Contáctanos

Asset Publisher

125 Reporte Quincenal de Ciberinteligencia 2025

124 Reporte Quincenal de Ciberinteligencia 2025

123 Reporte Quincenal de Ciberinteligencia 2025

Asset Publisher