Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Un correo electrónico de phishing que se hacía pasar por DHL dirigía al destinatario a un archivo adjunto en PDF que les instruía a hacer clic en un botón. Ese botón conducía a la descarga de un archivo .scr malicioso desde un sitio web logístico vietnamita comprometido. Una vez ejecutado, el archivo instalaba una herramienta de acceso remoto SimpleHelp firmada, permitiendo al atacante establecer un acceso remoto persistente a la máquina de la víctima.
Investigación
El informe explica que el correo electrónico de phishing utilizaba imágenes alojadas en un servicio legítimo de Yahoo para parecer más convincente y dependía de una dirección del remitente falsificada para imitar una fuente confiable. El archivo descargado .scr fue identificado como un instalador modificado del gestor remoto SimpleHelp que activaba un aviso de UAC antes de ejecutarse. Después de la instalación, el software iniciaba la comunicación saliente con la infraestructura controlada por el atacante para recibir comandos y mantener el control del sistema comprometido.
Mitigación
Las organizaciones deberían capacitar a los usuarios para verificar cuidadosamente las direcciones del remitente y prestar mucha atención a las extensiones de archivo sospechosas antes de abrir archivos adjuntos o descargas. Se debe habilitar la autenticación de múltiples factores siempre que sea posible, y desplegar protección de endpoint con capacidades actuales de filtrado web para bloquear contenido malicioso. Los defensores también deberían bloquear el dominio malicioso identificado y monitorear actividades no autorizadas de SimpleHelp en todo el entorno.
Respuesta
Si se detecta esta actividad, aísle inmediatamente el endpoint afectado, termine el proceso de SimpleHelp y elimine el archivo .scr malicioso del host. Luego, los investigadores deben realizar un análisis forense para identificar cualquier artefacto adicional o actividad posterior vinculada a la intrusión. Cualquier credencial utilizada en el sistema comprometido debe ser restablecida, y las reglas de seguridad del correo electrónico deben fortalecerse para reducir la exposición a cebos de phishing similares en el futuro.
"graph TB %% Definiciones de clase classDef action fill:#99ccff classDef technique fill:#ffcc99 classDef file fill:#ccffcc classDef malware fill:#ff9999 classDef protocol fill:#ccccff %% Nodos action_phishing["<b>Acción</b> – Campaña de Phishing"] class action_phishing action tech_T1566_001["<b>Técnica</b> – T1566.001 Phishing: Spearphishing Attachment<br/><b>Descripción</b>: Correos electrónicos de phishing dirigidos que contienen archivos adjuntos maliciosos."] class tech_T1566_001 technique file_pdf["<b>Archivo</b> – Archivo adjunto PDF malicioso (suplantando a DHL)"] class file_pdf file action_user_exec["<b>Acción</b> – Ejecución por el Usuario de Archivo Malicioso"] class action_user_exec action tech_T1204_002["<b>Técnica</b> – T1204.002 Ejecución por el Usuario: Archivo Malicioso<br/><b>Descripción</b>: El usuario es engañado para abrir o ejecutar un archivo malicioso."] class tech_T1204_002 technique file_scr["<b>Archivo</b> – AWB-Doc0921.scr descargado y ejecutado"] class file_scr file tech_T1553_002["<b>Técnica</b> – T1553.002 Subvertir Controles de Confianza: Firma de Código<br/><b>Descripción</b>: Los adversarios utilizan certificados de firma de código robados o falsificados para firmar archivos maliciosos."] class tech_T1553_002 technique tech_T1036_008["<b>Técnica</b> – T1036.008 Mascarada: Tipo de Archivo Mascarado<br/><b>Descripción</b>: Los archivos son renombrados o presentados como un tipo diferente para evadir defensas."] class tech_T1036_008 technique malware_simplehelp["<b>Malware</b> – Herramienta de Acceso Remoto SimpleHelp"] class malware_simplehelp malware tech_T1219["<b>Técnica</b> – T1219 Herramientas de Acceso Remoto<br/><b>Descripción</b>: Uso de herramientas de acceso remoto para controlar hosts comprometidos."] class tech_T1219 technique tech_T1071_001["<b>Técnica</b> – T1071.001 Protocolo de Capa de Aplicación: Protocolos Web<br/><b>Descripción</b>: Uso de HTTP/HTTPS para comunicaciones de comando y control."] class tech_T1071_001 protocol tech_T1133["<b>Técnica</b> – T1133 Servicios Remotos Externos<br/><b>Descripción</b>: Uso de servicios remotos legítimos para acceder a sistemas comprometidos."] class tech_T1133 technique %% Conexiones action_phishing –>|usa| tech_T1566_001 tech_T1566_001 –>|entrega| file_pdf file_pdf –>|activa| action_user_exec action_user_exec –>|usa| tech_T1204_002 tech_T1206_002 –>|ejecuta| file_scr file_scr –>|firmado_con| tech_T1553_002 tech_T1553_002 –>|permite| tech_T1036_008 tech_T1036_008 –>|conduce_a| malware_simplehelp malware_simplehelp –>|usa| tech_T1219 malware_simplehelp –>|comunica_a_través_de| tech_T1071_001 malware_simplehelp –>|accesado_a_través_de| tech_T1133 "