CONVERTIDORES ONLINE DE ARCHIVOS DISTRIBUYEN EL MALWARE REDLINE STEALER
CONVERTIDORES ONLINE DE ARCHIVOS DISTRIBUYEN EL MALWARE REDLINE STEALER
|
21/10/2022
| BOLETÍN NRO 2022-608 |
Se ha detectado un sitio web de phishing que se hace pasar por un sitio genuino para convertir archivos online que se utiliza para propagar el malware redline stealer.
Servicios Afectados
• Sistemas operativos Windows
Detalles Tecnicos
Hoy en día muchas personas utilizan las herramientas digitales debido a la facilidad de uso y que estas plataformas ofrecen una cantidad de operaciones que son efectivas. Se puede acceder a estos servicios a través de internet sin tener que instalar software, en los cuales se pueden encontrar múltiples herramientas como compartir archivos, diseñar logotipos, crear diagramas de flujos, convertir archivos, crear documentos PDF, entre otros. El sitio que se descubrió como “hxxps[:]//convertigoto[.]net/”, se hacia pasar por un sitio genuino, en la cual tenía la función de convertir archivos en diferentes formatos. Dicha pagina, solicitaba al usuario subir el archivo para su conversión, pero como resultado, recibía un archivo en formato .zip. como el siguiente "YourConvertedFile634643.zip", la victima al descomprimirlo se encuentra con un archivo .Ink que es un acceso directo que a su vez contiene el código con el cual se conectara al sitio anteriormente mencionado y descargara dos archivos .bat nombrados “2.bat” y “3.bat” en la carpeta "%USERPROFILE%\Downloads" que contendrán el comando PowerShell donde realizarán la acción de excluir en Windows defender las extensiones “exe”, “bat” y “c”, esto permitirá poder descargar un ejecutable oculto como PDF. Se evidenció que el payload que contiene este ejecutable es una cepa del malware conocido como “RedlineStealer”, que esta escrita en C# y utiliza un API SOAP para comunicarse con su servidor C&C. Este stealer es capaz de robar información de navegadores web, billeteras de criptomonedas y aplicaciones como FileZilla, Discord, Steam, Telegram y Cliente VPN. Para más información acerca del malware Redline Stealer, remitirse a los siguientes boletines: Boletín SecureSoft-Nro. 2022-259 NUEVA CAMPAÑA DE MALWARE REDLINE Boletín SecureSoft-Nro. 2022-224 NUEVA ACTIVIDAD DE REDLINE EN CAMPAÑA RIG EXPLOIT KIT Indicadores de Compromiso Dominio convertigoto[.]net MD5: 0350d40da8135fe9c8c61a939602dedd SHA-256: 1089a26c46bb0e5a247593e5defd80503dc0d4950ee522f1de54fca99b1c21f6 MD5: 8be13313460c5f1befb20a1051f9f850 SHA-256: f74b170a7f8258bc8824f0f5efad26e8081f793cc1c4d5282a5fcc43c3d71368 MD5: 209b97fe681f86b71162153b4ddbce32 SHA-256: 70f56299a49fdb0994adfff42b3d4b74f7036193d8a783ee8223180bf0b30bed MD5: 303c63a7c8d3b15c72e079e720fc4ae4 SHA-256: eb7d31a5a641b057aa250442dc5252d4214ca282632ebd24a79644fe358fbe18
|
Recomendaciones
Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:
Para el personal de seguridad de información:
• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.
• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.
• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.
• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.
• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.
** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.
Para usuarios finales:
• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.
• Escanear todo el software descargado de Internet antes de la ejecución.
• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.
Fuente
- Fuente 1: Redline Stealer Spreads via an Online File Converter Phishing site
- Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft
Contáctanos
Si usted tiene alguna consulta no dude en contactarse con nosotros:
Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com
Consultas comerciales: ventas@securesoftcorp.com
Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com
Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com
Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com
Publicador de contenidos
Reporte
125 Reporte Quincenal de Ciberinteligencia 2025
Reporte
124 Reporte Quincenal de Ciberinteligencia 2025
Reporte