ProtektNet Consulting Services
Contáctanos vía WhatsApp

+52 81 1824 2222

ProtektNet Consulting Services
Logo-ProtektNet-1
Contáctanos vía WhatsApp

+52 81 1824 2222

ProtektNet Consulting Services
LODEINFO Malware
26/01/2024

Una nueva versión de backdoor ha sido descubierta por investigadores de ciberseguridad, se trata de una actualización del backdoor LODEINFO v. 0.7.3 y es distribuido vía ataque de spear-phising. Este descubrimiento fue por la compañía japonesa ITOCHU Cyber & Intelligence, donde mencionan que el malware se actualizó con nuevas características y con cambios como el anti-análisis.

Cabe recalcar que LODEINFO fue documentado por primera vez en noviembre del 2022 por una firma de Antivirus, detallando las capacidades de

  • Ejecutar códigos arbitrarios
  • Tomar screenshots y
  • Exfiltrar archivos hacia un servidor controlado por el atacante.

La cadena del ataque comienza con correos de phishing que contienen documento de Microsoft Word malicioso que cuando es abierto, ejecuta VBA (macros) para descargar el código que al final de esta, descarga el implante de LODEINFO.

Con esta nueva actualización lo nuevo en el malware es, al descargar el malware, obtiene un archivo que se hace pasar por un correo de privacidad mejorada (PEM) de un servidor C2, que, a su vez, carga el backdoor directamente en la memoria.

Como contramedida, “dado que tanto el código de la descarga como el código del backdoor de LODEINFO son malware sin archivos, es esencial introducir un producto que pueda escanear y detectar malware en memoria para detectarlo”, añadió la compañía.

Por suerte contamos con tecnologías como Sophos, que su tecnología Intercept X and XDR es capaz de proteger el dispositivo y detectar malware fileless al instante.

A continuación, se mencionan los IoCs de muestras analizadas por expertos de ciberseguridad:

Indicadores de compromiso:

Muestras de MD5:
69dd7fd355d79db0325816569ae2129a – Maldoc
E82d98bae599cd172bb194adbdc76873 – zip file of above Maldoc
D1a925ddb6d0defc94afb5996ed148bd – Maldoc
9598b2af9dd1493dd213dbca56912af4 – Maldoc
2a9012499d15145b5f63700c05adc426 – Loader module
508aed3687c146c68ad16326568431ab – Loader module
60dea5b5f889f37f5a9196e040bce0eb – BLOB:encrypted LODEINFO v0.6.9
3d910e8ab29362ae36de73c6b70a7e09 – BLOB:encrypted LODEINFO v0.7.1
290c5f33a4f4735e386b8193b1abdcf9 – Artifact:unique data structure for malware set

C2s:
167.179.106[.]224
167.179.77[.]72
172.104.112[.]218
202.182.116[.]25
45.76.197[.]236
45.76.222[.]130
45.77.183[.]161

 

Referencia: https://blog-en.itochuci.co.jp/entry/2024/01/24/134100

Relacionadas

Abuso de Webhooks en n8n para Distribución de Malware mediante Phishing

Abuso de Webhooks en n8n para Distribución de Malware mediante Phishing

Campaña Bloody Wolf

Campaña Bloody Wolf: Uso de NetSupport RAT en Ataques de Spear‑Phishing

Explotación Activa de la Vulnerabilidad Metro4Shell en React Native CLI npm

Explotación Activa de la Vulnerabilidad Metro4Shell en React Native CLI npm

Campaña de malware distribuido a través de mensajes privados de Linkedin

Campaña de malware distribuido a través de mensajes privados de Linkedin

Write A Comment

Trabaja con Nostros

Contáctanos

Envíanos un WhatsApp

81 8625 8220

Monterrey

Atención Comercial: 81 8625 8220
Atención Técnica: 81 8625 8224
Servicios Administrados SOC: 81 8625 8228

CDMX

Atención Comercial: 55 2881 4524
Atención Técnica: 55 2881 4528

© 2021 ProtektNet Consulting S.A. de C.V. Todos los Derechos Reservados