Mié, 15/11/2017 - 18:12

Se cree que este Malware se propaga por medio del "phising" como principal medio. La infraestructura usada por Volgmer consta de mas de 94 direcciones IP estáticas y otras IP dinámicas. Todas están dispersas en distinto países como India, Irán, Pakistán, Arabia Saudita, Taiwan, Tailandia, Sri Lanka, China, Vietnam, Indonesia, Rusia.

Detalle Técnico

Como un Troyano de puerta trasera, Volgmer consta de varias capacidades:

- recopilar información del sistema

- actualizar las claves de registro del servicio

- descargar

- cargar archivos

- ejecutar comandos

- finalizar procesos

- enumerar procesos

El payload de Volgmer de 32-bits puede ser un ejecutable o bien un dll. El troyano usualmente usa un protocolo personalizado para devolver el mensaje a los servidores, mayormente vía TCP en los puertos 8080 o 8088 y algunos payloads se implementan Secure Socket Layer (SSL) para ofuscar la comunicación.

La persistencia del malware esta atachada comúnmente en los servicios de la victima. Volgmer aleatoriamente escoge un servicio y sobre escribe el DLL con un nombre aleatorio.

Detección y Respuesta

Se recomienda que los administradores de red revisen la lista de IP que se provee, e identifiquen si alguna de ellas se encuentran recurrentemente en su trafico.

Revisar los registros de la red perimetral con respecto a las IP de la lista, de esta manera se podrá identificar instancias que tratan de conectarse a su sistema o viceversa.

Impacto

Si el troyano fue exitosamente instalado puede tener impactos severos tales como información sensible expuesta, perdida permanente o temporal de información, interrupción de operaciones regulares, perdidas financieras debido a reinicio de sistemas y/o archivos.

Mitigación

- Uso de lista blancas de aplicación para evitar que se ejecuten programas maliciosos o programas que no corresponden al rubro o probadas previamente.

- Mantener los sistemas operativos y aplicaciones actualizados.

- Mantener el AntiVirus (AV) actualizado y escanee todo software descargado del Internet

- Restrinja permisos de los usuarios para instalar y ejecutar aplicaciones de software no deseados [Principio de Privilegios Mínimos].

- Evite habilitar macros desde archivos adjuntos de correo electrónicos

- No siga enlaces web no solicitados en correos electrónicos.

Anexo

Lista de IP

199.68.196.125
103.16.223.35
113.28.244.194
116.48.145.179
186.116.9.20
186.149.198.172
195.28.91.232
195.97.97.148
199.15.234.120
200.42.69.133
203.131.222.99
210.187.87.181
83.231.204.157
84.232.224.218
89.190.188.42
109.68.120.179
85.132.123.50
80.95.219.72
88.201.64.185
103.10.55.35
45.124.169.36
222.44.80.138
61.153.146.207
41.131.164.156
82.129.240.148
82.201.131.124
31.146.82.22
103.27.164.10
103.27.164.42
112.133.214.38
114.79.141.59
115.115.174.67
115.178.96.66
115.249.29.78
117.211.164.245
117.218.84.197
117.239.102.132
117.239.144.203
117.240.190.226
117.247.63.127
117.247.8.239
118.67.237.124
125.17.79.35
125.18.9.228
14.102.46.3
14.139.125.214
14.141.129.116
180.211.97.186
182.156.76.122
182.72.113.90
182.73.165.58
182.73.245.46
182.74.42.194
182.77.61.231
183.82.199.174
183.82.33.102
203.110.91.252
203.196.136.60
203.88.138.79
43.249.216.6
45.118.34.215
139.255.62.10
128.65.184.131
128.65.187.94
178.248.41.117
185.113.149.239
185.115.164.86
185.46.218.77
213.207.209.36
217.218.90.124
217.219.193.158
217.219.202.199
37.235.21.166
37.98.114.90
78.38.114.15
78.38.182.242
78.39.125.67
80.191.171.32
85.185.30.195
85.9.74.159
89.165.119.105
91.106.77.7
91.98.112.196
91.98.126.92
91.98.36.66
94.183.177.90
95.38.16.188
27.114.187.37
116.90.226.67
113.203.238.98
115.186.133.195
182.176.121.244
182.187.139.132
37.216.67.155
84.235.85.86
103.241.106.15
203.118.42.155
58.185.197.210
123.231.112.147
222.165.146.86
122.146.157.141
140.136.205.209
110.77.137.38
118.175.22.10
125.25.206.15
203.147.10.65
58.82.155.98
61.91.47.142
185.134.98.141

 

Fuente: https://www.us-cert.gov/ncas/alerts/TA17-318B

https://www.us-cert.gov/sites/default/files/publications/MAR-10135536-D_WHITE_S508C.PDF