1. Alertas de Seguridad
  2. Troyano distribuido en campaña de Phishing

Troyano distribuido en campaña de Phishing

Fecha de publicación: Mié, 23/07/2025 - 10:06

Alerta de seguridad

Nivel de peligrosidad: Alto

Descripción:

En las últimas horas, el Centro de Gestión de Incidentes Informáticos ha detectado campañas agresivas y recurrentes de phishing en Bolivia, distribuyendo una variante del troyano trojan.lazy/msil mediante correos engañosos. Estos correos suplantan la identidad de una empresa y contiene un archivo adjunto malicioso (.rar o .exe). Al ejecutar el malware, se solicitan privilegios de administrador, modifica los registros de windows para iniciarse automáticamente desde otra ubicación, tiene la capacidad de tomar capturas de pantalla y conectarse a un servidor remoto.

Troyano lazy_msil

Indicadores de ataque:

Recursos afectados:

  • Información y actividad del usuario.

Actividad maliciosa:

  1. Distribución: Correos de phishing con adjuntos como Documentos.rar.
  2. Infección: Al descomprimir y ejecutar el archivo, se instala el malware en sistemas Windows 10/11.
  3. Recolección: El malware permite realizar capturas a la pantalla del equipo y las almacena.
  4. Exfiltración: Se realiza la conexión a un servidor remoto a la cual se podrían exfiltrar las capturas.
  5. Persistencia: El malware modifica el registro de windows para ejecutarse automáticamente en cada inicio de sesión.

Indicadores de Compromiso:

  • Malware: trojan.lazy/msil
  • Nombre del programa en ejecución: appViedHD.exe
  • Ubicación: C:\Users\admin\AppData\Roaming\Subdriv\appViedHD.exe
  • DNS Request: floataboat.strangled.net
  • IP de servidor remoto: 196.251.70.114
  • Puerto utilizado: 4785/TCP
  • Directorio de almacenamiento de capturas: "C:\ProgramData\Microsoft\NetFramework\BreadcrumbStore\System.Collections.Immutable

Recomendaciones:

Bloquear estos dominios y direcciones IP en filtros de correo y firewalls, además de monitorear procesos inusuales en los equipos cliente.

Referencias: