11/05/2023    

BOLETÍN NRO 2023-293

La cadena de ataque habría aprovechado archivos de instalación maliciosos para colocar el malware DBoxShell (también conocido como PowerMagic) en los sistemas comprometidos. El archivo MSI, por su parte, se descarga mediante un archivo de acceso directo de Windows contenido en un archivo ZIP.

DBoxShell es un malware que utiliza servicios de almacenamiento en la nube como mecanismo de comando y control (C&C), afirman los investigadores de seguridad.

Esta etapa sirve como punto de entrada para los atacantes, permitiéndoles evaluar si los objetivos son interesantes o no, lo que significa que en esta fase usarán diferentes herramientas de reconocimiento.

A la fase inicial de infección le sigue el despliegue de artefactos adicionales como ngrok, rsockstun y un binario para filtrar datos de la víctima a una cuenta de Dropbox controlada por el atacante.

El alcance exacto de las infecciones no está claro, aunque las pruebas apuntan a dos víctimas situadas en el centro de Ucrania, un objetivo militar y un oficial que trabajaba en infraestructuras críticas que se vieron comprometidas como parte de los ataques.

En ambos casos, los ciberdelincuentes extrajeron capturas de pantalla, grabaciones de micrófonos y documentos de oficina tras un periodo de reconocimiento. También se registraron y subieron a Internet las pulsaciones de teclado de una de las víctimas.

Se cree que el motivo principal del ataque era la vigilancia y la recopilación de datos. Los atacantes utilizaron diferentes capas de protección, tenían un amplio conjunto de herramientas para sus víctimas y el ataque estaba claramente dirigido a entidades específicas.

Indicadores de Compromiso

Hash

MD5: baff93a9574ff019ad8a1cff0b712d6f

SHA-256: fb48b9102388620bb02d1a47297ba101f755632f9a421d09e9ab419cbeb65db8

MD5: e1f0082cb3d04c4a2a70ae02a158520c

SHA-256: f405a26904d2f6aaf4ff5f24dc345a24751d13b691a0bf17ba8c94f08ebb8b5b

MD5: 1a82b5ad439394bc0066afc69918cbb0

SHA-256: d956f2bf75d2fe9bf0d7c319b22a834976f1786b09ff1bba0d2e26c771b19ca2

MD5: 3253c7bcf9e558269e451f1da214f386

SHA-256: d6b5f48d4e94207a5a192c1784f9f121b59311bfd6a5e94be7c55b0108c4ed93

MD5: 9ec4d7f730e7556191f439d7ea34f0ce

SHA-256: ce9af73be2981c874b37b767873fa4d47219810e2672bf7e0b5af8c865448069

MD5: 47e7fd08c8e709977ac20ad64ef23909

SHA-256: c75d905cd7826182505c15d39ebe952dca5b4c80fb62b8f7283fa09d7f51c815

MD5: 139c2eca4e389032d4d004fd2e65d3c1

SHA-256: c68ce59f73c3d5546d500a296922d955ccc57c82b16ce4bd245ca93de3e32366