“Solicitud de presupuesto”: Análisis de una campaña de emails maliciosos dirigida a usuarios españoles y portugueses

El uso del correo electrónico sigue siendo uno de los vectores de ataque favoritos por los delincuentes, tanto para el envío de spam masivo como para realizar campañas más dirigidas. En esta ocasión vamos a analizar una campaña que tuvo lugar durante la semana del 5 al 9 de noviembre de 2018 y que tuvo a usuarios españoles como principal objetivo, tal y como veremos a continuación.

El presupuesto malicioso

Como en muchos otros casos anteriores, todo empieza con la recepción del correo en la bandeja de entrada de la víctima. Sin embargo, en esta ocasión no se trata de emails anónimos provenientes de remitentes desconocidos y con un pobre uso del español. Los emails analizados están escritos en perfecto castellano y parecen provenir de empresas legítimas, e incluso se incluye la firma y logo de estas.

Con respecto a la procedencia de estas empresas, entre los casos analizados hemos encontrado tanto empresas españolas como portuguesas, aunque también hemos visto alguna empresa ubicada en Reino Unido. A la hora de analizar estos emails, hemos visto como en algunos de estos correos se estaba suplantando el remitente mediante técnicas de spoofing (suplantación del correo), aunque tampoco podemos descartar al cien por cien que, en otros casos, los delincuentes hayan conseguido tomar el control de los servidores de correo de las empresas remitentes.

Ejemplo de email utilizado por los atacantes

Al tratarse de correos remitidos desde empresas reales muchos de los usuarios que los recibieron interpretaron que se trataba de correos legítimos y bajaron la guardia, descargando el fichero adjunto en formato Microsoft Excel, aunque también hemos visto como se usaban otros formatos como .rtf y.doc. Aun en pleno 2018 sigue existiendo la creencia entre muchos usuarios de que este tipo de ficheros no representan un peligro para sus sistemas, a pesar de haber sido utilizados en todo tipo de ataques desde hace más de 20 años.

Ejemplo de email utilizado por los atacantes con fichero Excel malicioso adjunto

El fichero Excel malicioso adjunto tiene una peculiaridad con respecto a otros casos anteriores analizados en este mismo blog, y es que antes de solicitar al usuario que permita la ejecución de contenido (macros) en el documento (una opción que viene desactivada por defecto), intenta aprovechar la vulnerabilidad CVE-2017-11882 en Microsoft Office de hace un año (concretamente la parte que afecta al editor de ecuaciones EQNEDT32.EXE) para comenzar su actividad maliciosa una vez abierto el documento y sin necesitar una interacción posterior del usuario. El uso de esta vulnerabilidad además del método clásico puede ser un indicador de que los delincuentes intentaban maximizar el número de infecciones.

Vista del archivo Excel malicioso solicitando permiso para ejecutar contenido –  Fuente: vmray

Los usuarios de soluciones de seguridad ESET están protegidos frente a esta primera fase del ataque gracias a la detección del exploit que intenta utilizar el documento malicioso, detección que recibe el nombre de Win32/Exploit.CVE-2017-11882.

Descarga y ejecución del malware

Una vez la víctima ha ejecutado el fichero Excel malicioso y este ha aprovechado la vulnerabilidad o engañado al usuario para que permita la ejecución de código, se realiza una conexión a una dirección IP ubicada supuestamente en Estados Unidos y utilizada por los delincuentes para alojar el malware propiamente dicho. A través de una petición GET, se descarga en el sistema de la víctima un archivo de nombre scvhost.exe, nombre muy similar al proceso legítimo del sistema Windows svchost.exe.

Petición GET realizada para descargar archivo scvhost.exe malicioso – Fuente: hybrid-analysis

A partir de la descarga y ejecución de este código malicioso, se empiezan a crear y ejecutar una serie de procesos que realizarán las acciones maliciosas ideadas por los delincuentes para esta campaña. En este caso y según la actividad observada, estaríamos ante un troyano con funcionalidades de espionaje, utilizados normalmente para el robo de credenciales de entidades bancarias, servicios de Internet y otra información que los delincuentes consideren interesante. El malware que se descarga en el sistema en el caso de que consiga ejecutarse el documento malicioso es identificado por las soluciones de seguridad de ESET como MSIL/Spy.Agent.AES.

Linea temporal de la ejecución de los procesos derivados del fichero Excel malicioso – Fuente: vmray

Tampoco debemos descartar otras posibles funcionalidades de este malware como, por ejemplo, la que permitiría a los delincuentes detrás de esta campaña controlar remotamente las máquinas infectadas mediante la herramienta XRat. Esto les posibilitaría lanzar más ataques en el futuro e incluso realizar movimientos laterales dentro de una red corporativa en busca de sistemas que contengan información confidencial.

Impacto en España y Portugal

A la hora de analizar el impacto de esta campaña podemos ver claramente como los objetivos de los atacantes eran usuarios españoles y (en menor medida) portugueses. A través del sistema Livegrid de ESET también observamos como la campaña ha estado acotada entre el lunes 5 de noviembre y el viernes 9 de noviembre y el principal número de usuarios afectados eran españoles.

Impacto de la campaña por paises – Fuente: ESET Livegrid

Esta información se puede ver de forma más gráfica en el siguiente mapa proporcionado por VirusRadar, donde solo España y Portugal aparecen con un impacto significativo de esta campaña, siendo este en el resto de países totalmente anecdótico.

Impacto de la campaña en diferentes zonas geográficas –  Fuente: Virus Radar

En lo que respecto a la duración de la campaña, parece claro que los delincuentes han intentado aprovechar la días laborales de la semana para causar el mayor impacto, ya que las detecciones del fichero Excel maliciosos fueron disminuyendo conforme nos acercábamos al fin de semana.

Días de mayor tasa de detección del malware – Fuente: Virus Radar

También podemos observar el alcance de esta campaña en España si revisamos el porcentaje de detección del fichero Excel malicioso con respecto a otras amenazas detectadas por las soluciones de seguridad de ESET. En su pico máximo de actividad el pasado miércoles 7 de noviembre, la detección de esta amenaza supuso el 31,24% del total de las amenazas detectadas ese día, una cifra nada despreciable y que nos da una idea de la intensidad de esta campaña en territorio español.

Proporción de detecciones de amenazas el pasado 7 de noviembre – Fuente: Virus Radar

Ahora falta ver si esta campaña volverá a producirse durante esta semana o en el futuro, algo que confirmaremos tan pronto como dispongamos de los datos actualizados de telemetría sobre amenazas.

Conclusión

Si bien este tipo de campañas son bastante frecuentes a nivel mundial, el hecho de que la que acabamos de analizar esté tan dirigida a España y Portugal, y que los delincuentes hayan añadido un exploit para una vulnerabilidad conocida en Office añade un plus de peligrosidad para los usuarios. Esto supone un pequeño paso adelante para los atacantes que, si bien siguen sin utilizar técnicas especialmente avanzadas, consiguen aumentar el impacto de sus amenazas con tan solo mejorar un poco los vectores y técnicas de ataque.

Por lo que respecta a las medidas de seguridad a adoptar para evitar caer en este tipo de amenazas, no hace falta adoptar ninguna medida adicional a aquellas que ya se han mencionado desde hace varios años: mantener actualizado nuestro sistema operativo y aplicaciones para evitar que se aprovechen vulnerabilidades conocidas, disponer de soluciones de seguridad que sean capaces de detectar estas amenazas y desconfiar de correos electrónicos no solicitados aunque provengan de remitentes de confianza.

Josep Albors

Indicadores de compromiso

Hash SHA1 de la muestra analizada:

509ed3828b80661a418d2f7d4f9e366d46eb7ef5

Nombres del archivo:

  • Solicite a global Nov..xlsx
  • SOLICITUD DE PRESUPUESTO RFQ 2914.xlsx
  • RFQ Global_618.xlsx
  • SOLICITUD DE PRESUPUESTO.xlsx
  • SOLICITUD DE PRESUPUESTO RFQ 2914.xlsx_
  • orden de pedido 05.xlsx
  • Solicitud de presupuesto 2279.xlsx
  • 0.xlsx

IPs relacionadas:

84.38.130.139

23.249.167.158

 

 

 

 

«La ciberdelincuencia está hoy en día, más activa que nunca», Alex Casanova