NUEVA CAMPAÑA DE DISTRIBUCIÓN DEL TROYANO NJRAT

19/01/2023

BOLETÍN NRO 2023-045

Recientemente, hay una campaña en curso denominada Earth Bogle está aprovechando los señuelos con temas geopolíticos para entregar el troyano de acceso remoto NjRAT a las víctimas en todo el Medio Oriente y África del Norte.

Servicios Afectados

• Sistemas operativos Windows

Detalles Tecnicos

CVE: ---                                    Severidad:   ALTA

Los investigadores de seguridad han descubierto una campaña en curso denominada Earth Bogle que está aprovechando los temas geopolíticos para entregar el troyano de acceso remoto NjRAT a las víctimas en todo el Medio Oriente y África del Norte. El actor de amenazas utiliza servicios de almacenamiento en la nube pública como files.fm y failiem.lv para alojar el malware, mientras que los servidores web comprometidos distribuyen NjRAT.

Los correos electrónicos de phishing se adaptan a los intereses de la víctima y contienen archivos adjuntos maliciosos para activar la rutina de infección. Los archivos suelen ser de almacenamiento de Microsoft Cabinet (CAB) que contienen un cuentagotas de Visual Basic Script para implementar la carga útil de la siguiente etapa. Además, se sospecha que los archivos se distribuyen a través de plataformas de redes sociales como Facebook y Discord, e incluso se crean cuentas falsas para publicar anuncios en páginas que se hacen pasar por medios de comunicación legítimos.

Los archivos CAB, alojados en servicios de almacenamiento en la nube, también se hacen pasar por grabaciones de voz confidenciales para atraer a la víctima a abrir los archivos y ejecutar el VBScript. Este, a su vez, obtiene de un dominio ya violado un script de PowerShell que carga la carga útil de RAT en la memoria y la ejecuta. NjRAT, descubierto por primera vez en 2013, tiene innumerables capacidades que permiten al actor de amenazas recolectar información confidencial y obtener control sobre las computadoras comprometidas.

Este caso demuestra que los actores de amenazas aprovechan el almacenamiento en la nube pública como servidores de archivos de malware y utilizan técnicas de ingeniería social que atraen los sentimientos de las personas, como los temas geopolíticos regionales como señuelos, para infectar a las poblaciones objetivo. Es importante que las personas estén alerta y adopten medidas de seguridad para protegerse de estas amenazas.

Indicadores de Compromiso

Dominio

gpla[.]gov[.]ly

2525[.]libya2020[.]com[.]ly

gpla[.]gov[.]ly

fv9-2[.]failiem[.]lv

URL

hxxps[:]//fv9-2[.]failiem[.]lv/f/nvge8wkk3

hxxps[:]//fv9-2[.]failiem[.]lv/down[.]php?i=nvge8wkk3

hxxps[:]//gpla[.]gov[.]ly/out/5555555555555555555(OUT)[.]jpg

hxxps[:]//gpla[.]gov[.]ly/4444488888/DFvKKnFBvI_HEX[.]jpg

hxxps[:]//www[.]gpla[.]gov[.]ly/news/ETErpTJVDq_DEC[.]jpg

hxxps[:]//gpla[.]gov[.]ly/333333/cEsITGEhOH_aaaaaa[.]jpg

hxxps[:]//www[.]shorturl[.]at/fkvxD

hxxps[:]//cdn[.]discordapp[.]com/attachments/1003201277469138987/10032192184241
35680/456456465[.]jpg

hxxps[:]//onedrive[.]live[.]com/download?cid=FFEE38EB861E9448&resid=FFEE38EB861E9448%211405&authkey=AOJ0s9tYFj7d0kg

Hash

MD5: 41ed689d93d5774a80af2cf0d747396e

SHA256: 2f1c9ae4477f2b990ec6d084cb00c791b4e33be4828bda947f6c600239a13d0a

MD5: d3cb2c9f67a9f184145c618825648b54

SHA256: 78ac9da347d13a9cf07d661cdcd10cb2ca1b11198e4618eb263aec84be32e9c8

MD5: 7a7b92fc670d34cc1a69fb5f9964239f

SHA256: 8ecc313c38eae8fa61c67bbe37532022b6deff76ae857961fc594190cff2f7a7

MD5: a00fb9b0b1fc1e6a9c7a6a35b1635e2c

SHA256: 6560ef1253f239a398cc5ab237271bddd35b4aa18078ad253fd7964e154a2580

MD5: 7a7b92fc670d34cc1a69fb5f9964239f

SHA256: 8ecc313c38eae8fa61c67bbe37532022b6deff76ae857961fc594190cff2f7a7

MD5: e677bb4d52d0d3d13957d2ddcf646105

SHA256: 6bd72e80361c1be1a3cbe79f26d34855a0fd6483784b0de5f30bf36b4536a9c1

MD5: 69c29b06b86e23b96c0c65e1f599dae5

SHA256: a531b9fdb6c216839451aae63cd2a13e552ac1960ae3f2e298a1c8fca54b96c3

MD5: aedb0490e2ccab0eab05d79767530d86

SHA256: 9c2f26dcba299e0fadd6c400adc4cef030fb5b66c10cceccf2f99849871f5490

MD5: 33ebc8b4662c68ee04b03b03979f5261

SHA256: d039aebefb27b463d620f462938ade04c0492f5274d0b28a44777e6de4c80673

MD5: 34d54e8c11833433d2fb063a855f0fc7

SHA256: 00d8ac438ea309ca28693b9760bf9c2a6dce079699c503f7d7ba749fdcb8f4c1

MD5: 470bc2032452e8eabbc966c583b9d914

SHA256: f17059c48b1f2a9f80eae8dca222d5753aa3d8d20a26bf67546a084ca79e108e

MD5: 20742676a802cc8117157db995c9421e

SHA256: 74aad1d1c94d222b5ab92efd6c7aaf1b40c3246a44917a51d6bf6f45d6f9a65b

MD5: 39c97adaf4f54cd1584d6059e7c25b55

SHA256: 4888c4fe2e334dcb358ca810229f1d0699c792cf8b6fbf2e1b48a66f7b2d695c

MD5: c7266295c6441ecd469bcafcc09e7288

SHA256: 9bb8f517fd031f9c839cd54d8b6c04fb51768d778e0f640619b019d3ba1f7f55

MD5: b48be18929a58d92ee368fcd82ae5dcc

SHA256: 67c4f872bff257417a98a8bb75ac110d3ca5c7d5584f2de3c5a2337d2a948710

MD5: 9fa74c6038732bbfa31d7c7c50b0467e

SHA256: c03299acd37ab7c15f0d949d15f38cceacbfa817106382616e6d4064a2315942

MD5: c9f7a665fc8a0f5ae72daf2a395b609c

SHA256: 60eeb78b09fc7fe64dde782609edc2ab4eb6daff3df1db88b054932f417e5b45

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

• Fuente 1: Earth Bogle Campaign Unleashes NjRAT Trojan on Middle East and North Africa
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​