26/10/2022    

BOLETÍN NRO 2022-625

Según los hallazgos de la empresa de ciberseguridad ubicados en Corea del Sur, nombró a las familias de malware FastFire, FastViewer y FastSpy.

El malware 'FastFire' se disfraza como un complemento de seguridad de Google, y el malware 'FastViewer' se disfraza como 'Hancom Office Viewer', mientras que FastSpy es una herramienta de acceso remoto basada en AndroSpy , según los investigadores de ciberseguridad.

La amenaza persistente avanzada también es conocida por una versión de Android del implante AppleSeed para ejecutar acciones arbitrarias y filtrar información de los dispositivos infectados.

FastViewer es un APK reempaquetado al agregar un código malicioso arbitrario insertado por un atacante a la aplicación Hancom Office Viewer normal, y se agrega que el malware también descarga FastSpy como la siguiente etapa.

FastSpy, una vez lanzado, permite al adversario tomar el control de los dispositivos objetivo, interceptar llamadas telefónicas y mensajes (SMS), rastrear las ubicaciones de los usuarios, recopilar documentos, capturar pulsaciones de teclas y registrar información de la cámara, el micrófono y el altavoz del teléfono.

El grupo Kimsuky ha realizado continuamente ataques para robar la información del objetivo dirigido a dispositivos móviles. Además, se están realizando varios intentos para eludir la detección mediante la personalización de Androspy, un RAT de código abierto. Dado que la estrategia de orientación móvil del grupo Kimsuky se está volviendo más avanzada, es necesario tener cuidado con los ataques sofisticados dirigidos a dispositivos Android.

Indicadores de Compromiso

IP

23[.]106[.]122[.]16

DOMINIO

mc[.]pzs[.]kr

pzs[.]kr

navernnail[.]com

URL

hxxp[:]//mc.pzs[.]kr/themes/mobile/images/about/temp/attach/

hxxp[:]//mc.pzs[.]kr/themes/mobile/images/about/temp/upload/list.php?query=1

hxxp[:]//mc.pzs[.]kr/themes/mobile/images/about/temp/upload/list.php?query=6

hxxp[:]//mc.pzs[.]kr/themes/mobile/images/about/temp/upload/lib.php?idx=1

hxxp[:]//mc.pzs[.]kr/themes/mobile/images/about/temp/upload

hxxp[:]//mc.pzs[.]kr/themes/mobile/images/about/temp/android/naver.html

hxxp[:]//mc.pzs[.]kr/themes/mobile/images/about/temp/android/daum.html

hxxp[:]//mc.pzs[.]kr/themes/mobile/images/about/temp/android/facebook.html

hxxp[:]//navernnail[.]com/fkwneovjubske4gv/report_token/report_token.php?token=[Token]

hxxp[:]//navernnail[.]com/fkwneovjubske4gv/android/naver.html

hxxp[:]//navernnail[.]com/fkwneovjubske4gv/android/daum.html

hxxp[:]//navernnail[.]com/fkwneovjubske4gv/android/facebook.html

HASH

MD5: d6730f10a839d128e94b5aa05d9fb1ec

SHA-256: 2c20ac485fd55bd1a5c4b75c5ba521e5b19912325737617178dfcb5a4e408aef

MD5: 94fdc2115ce7f4ab0234a1e26901cb1c

SHA-256: fc039584c78442fc827f5ef40ab725d7180431569a49b8d367bf0543242164e8

MD5: 04bb7e1a0b4f830ed7d1377a394bc717 

SHA-256: fdd0e18e841d3ec4e501dd8bf0da68201779fd90237c1c67078d1d915cd13045 

MD5: 37cd853d14a4dc5c0e82fbf592d13328 

SHA-256: c038b20f104be66550d8dd3366bf4474398beea330bd25dac2bb2fd4b5377332 

MD5: 45c8b3bb692a2d874efa06b8a360b2cd 

SHA-256: 1510780646e92cbefc5fb4f4d7d2997a549058712a81553f90e197e907434672 

MD5: 2bf26702c6ecbd46f68138cdcd45c034 

SHA-256: 38d1d8c3c4ec5ea17c3719af285247cb1d8879c7cf967e1be1197e60d42c01c5 

MD5: d1e55713f752ba52185e537d0aebd6a9 

SHA-256: 884ff7e3a3cea5ce6371851f205d703e77abc7d1427d21800a04a205a124b649 

MD5: 5d56371944dec9da57db95d0199dd920 

SHA-256: 9722107fff4f3b2255556e0cf4d367ccb73305c34b1746baed31b16899eefc4b 

MD5: 3458daa0dffdc3fbb5c931f25d7a1ec0 

SHA-256: 031bde16d3b75083b0adda754aa982d4f6bd91e6b9d0531d5486dc139a90ce5a 

MD5: aefa23b91cc667be041cad40abbfa043 

SHA-256: ae7436c00e2380cdabbdcccacf134b95ddbaf2a40483fa289535dd6207cc58ce 

MD5: 89f97e1d68e274b03bc40f6e06e2ba9a 

SHA-256: 539231dea156e29bd6f7ed8430bd08a4e07ba330a9fad799fea45d9e9eed070c 

MD5: 6cf50df7a750432a89d5acd40aa587f4 

SHA-256: 59cb6bb54a6a222c863258baf9ee2500a539b55411b468a3e672fe7b26166b98