Una empresa de desarrollo de blockchain detectó una actividad inusual cuando un empleado fue redirigido a un sitio web desconocido mientras accedía a una plataforma de gestión de DAO. Poco después, se vaciaron varias billeteras de criptomonedas vinculadas a la organización. Los investigadores sospechan que se utilizó una herramienta maliciosa para robar credenciales y exfiltrar fondos. Su tarea es analizar la inteligencia proporcionada para descubrir los métodos de ataque, identificar indicadores de compromiso y rastrear la infraestructura del actor de la amenaza.
En este desafío solo se nos entrega el siguiente hash:
Teniendo esto en mente, para resolver este desafío deberemos recurir a fuentes externas.
1.- ¿Cuál es el tamaño del archivo malicioso?
Para responder esta pregunta utilizaré la herramienta VirusTotal. consultaré el hash entregado en este desafío.
2.- ¿Qué palabra utiliza el actor de amenazas en los mensajes de registro para referirse a las víctimas, inspirándose en los antiguos cazadores de colmillos?
Para esta pregunta y el resto de la misma, utilizaremos como fuente de datos SecurityList de Kaspersky. Ahora volviendo a nuestra pregunta. EL actor de amenaza utiliza la siguiente palabra en los mensaje de registro.
3.- El actor de amenazas creó un sitio web malicioso para simular una plataforma especializada en la creación y gestión de organizaciones autónomas descentralizadas (DAO) en la cadena de bloques MultiversX. ¿Cuál es el nombre del sitio web malicioso?
El sitio web malicioso tiene el siguiente aspecto.
4.- ¿Dónde se alojan las muestras de malware tanto para macOS como para Windows?
El malware utiliza la cabecera HTTP User-Agent para detectar el sistema operativo víctima.
5.- El ejecutable malicioso contiene un archivo de configuración que incluye URL codificadas en base64 y una contraseña utilizada para la descompresión de datos archivados, lo que permite la descarga de cargas útiles de segunda etapa. ¿Cuál es la contraseña para la descompresión que se encuentra en este archivo de configuración?
El malware en su primera etapa descarga un archivo executable que incluye un archivo config.js.
6.- ¿Cuál es el nombre de la función responsable de recuperar el archivo y los campos del archivo de configuración?
7.- En la tercera subcampaña, el atacante simuló un traductor de IA. ¿Cuál es el nombre del traductor legítimo y el nombre del traductor malicioso?
8.- ¿Cuáles son las direcciones IP del servidor StealC C2?
En el informe en el apartado Network IoCs encontramos un conjunto de direcciones IP.
9.- ¿Cuál es la dirección de la billetera de criptomonedas Ethereum utilizada en esta campaña?
Happy Hack!!!
Comentarios
Publicar un comentario