Reconstruir buzón Outlook
19/10/2020
Multa no pagada - bloque de vehiculos - [ id 831085870 ]
Para dar paso al nuevo Blog de hirusec, queremos escribiros sobre un nuevo caso de Phishing que hemos recibido en varios clientes y en nuestro sistema de SPAM. Se trata de un correo electrónico sobre una notificación de una multa no pagada de la DGT.
Antes de seguir analizando enlaces y cabeceras del correo electrónico, si nos fijamos bien, no nos da ningún tipo de información sobre la multa, únicamente nos muestra que tenemos una multa no pagada. Seguimos analizando la imagen nos dice que únicamente podremos ver la notificación con un pc con sistema operativo Windows, cosa muy extraña, por lo tanto, los sistemas operativos Linux y MacOS no podría ver la multa (que afortunados). Si ponemos el cursor sobre el icono de acceso a la sede electrónica nos manda al siguiente enlace:
Si vamos analizando las conexiones que realiza la página, nos encontraremos con detalles que nos dan razones para determinar que se trata de un Phishing si aún no lo teníamos claro.
Lo siguiente que ocurre es que se nos descarga un archivo desde la página web.
Si aceptamos la descarga del archivo y lo analizamos en virus total nos encontramos con lo siguiente.
Los siguientes Antivirus son los que han detectado una amenaza en el archivo:
• Cyren
• Fortinet
• ZoneAlarm
Descomprimimos el archivo para saber que tiene dentro y vemos lo siguiente.
Volvemos a analizar el ejecutable y virus total nos muestra lo siguiente.
4 Antivirus de 75 han detectado el archivo como malicioso:
• Cyren
• Fortinet
• ZoneAlarm
• Qihoo-360
El siguiente paso es mediante la página https://any.run analizar el comportamiento del ejecutable para saber qué hace. Any.run nos muestra lo siguiente sobre el ejecutable.
Por lo tanto, si queremos parar debería de bloquear las peticiones a la IP 20.185.91.114 y al dominio interino.eastus.cloudapp.azure.com
Esperamos que os sea de utilidad.
El equipo de hirusec.