Empresa Española Especializada en Ciberseguridad

|
es arrow down
© 2024 S2 Grupo
Alertas

Campaña Emotet emails maliciosos

Durante las últimas horas, se está observando un número muy elevado de envío de correos maliciosos relacionados con la amenaza Emotet. Se han observado envíos desde, por lo menos, las 22:00 de ayer.
22 Dec 2020

ANÁLISIS

En las últimas horas, se están produciendo múltiples envíos de correos maliciosos con la siguiente estructura:

  • El remitente pertenece a la organización
  • En el asunto se indica como una respuesta (RV: o RE:)
  • En el cuerpo del mensaje, se indica:

[Nombre de la persona que envía] (no siempre)
[Correo del remitente]
"Contraseña de archivo: XXX"
Contenido del mensaje original
Como adjunto, un fichero ".zip" con el contenido malicioso

Se proporcionan los IOCs detectados hasta la fecha

RECOMENDACIONES 

  • En ningún caso se deben abrir los adjuntos.
  • Eliminar el correo.
  • Mantenerse alerta ante correos sospechosos independientemente de su origen, especialmente si contienen documentos adjuntos.
  • Mantener actualizada y desplegada por toda la organización una solución antivirus funcional y escaneando activamente.
  • Tratar una detección de una amenaza de tipo Emotet o Trickbot con especial criticidad puesto que puede provenir de un movimiento lateral no detectado.

IOCs

Emails
admin.vervoer@skysat.co.za
office@piese112.ro
ariel@hondamegatama.com
felipe@neighpart.com
mkt.plg@abi.id
thiago@melhorbocado.com.br
garcia.ilde@imycom.es
comercial1@a2m.ind.br
bachltt@daiphuc.com.vn
ialtafin@akutperu.com
m.colaianni@ragionieri.com
rodrilson.oliveira@gavresorts.com.br
giorgio.vecchi@studiovecchi.net
ctacte@eliasyapur.com.ar
nicole@escritoriosolucao.net.br
admin.vervoer@skysat.co.za
oscar.armoa@agenciaaros.com.py
applications@k2mfunerals.co.za

Domains
mail.euronics[.]gr
cpanel.gmb[.]ro 
highlands.dedicated.co[.]za
localaffordableroofer[.]com 
football-eg[.]com
zenithcampus[.]com    
localaffordableroofer[.]com
smtp004-gtk.yachay[.]pe
gateway24.websitewelcome[.]com
belar.aserv.co[.]za
gateway34.websitewelcome[.]com
smtp201.alice[.]it
omr-relay-8.cniteam[.]com
gateway23.websitewelcome[.]com
nahlasolimandesigns[.]com
johnhaydenwrites[.]com 

URLs
hxxp://zenithcampus[.com/l/yQ/
hxxp://118.38.110[.192/nmsanogc/euq7t34sqgisnv2y/43i4/nc7fl2ulnffqe75/9k6qfn0d/
hxxp://181.136.190[.86/squmcdzhstuqlmyh/
hxxp://football-eg.com/web_map/n/
hxxp://nahlasolimandesigns.com/nahla3/d/
hxxp://johnhaydenwrites.com/track_url/P/
hxxp://167.71.148.58/1u0q233v1rc3qcr4/1iv492menm59tsb4/5n5e5hzamo8w37/zv4bd2467jra/ggfd0cw63/ 

IPs
107.180.12.39
109.99.16.46
118.38.110.192
154.0.163.227
154.0.168.61
160.153.137.170
167.71.148.58
171.244.32.185
180.244.214.157
181.136.190.86
185.78.221.99
192.185.149.46
192.185.47.80
192.185.51.228
193.231.242.120
209.143.0.88
209.45.69.86
35.200.206.198
35.209.96.32
65.254.248.139
82.57.200.97
85.17.88.170

Hashes
a0ff4788179252999988cc59ee4c54e996e117f6
9743f5a6cc7e64a8a7184b640404bd1077f27f2a

Artículos relacionados
Ver todas →
Alertas
Vulnerabilidad de criticidad alta para VMware
Leer más →
Alertas
Ataque ransomware en Accenture
Leer más →
Alertas
Vulnerabilidad de Ejecución de Código Remoto en «GridPro» de Windows Azure Pack
Leer más →

Síguenos en nuestra newsletter

Suscríbete a través de tu email para estar al día