• Los ID-09/18 e ID-10/18 están disponibles en la parte privada de su portal.
• En ambos casos el malware ha sido diseñado para infectar sistemas y tomar su control.
• El CERT Gubernamental Nacional publica ambos informes con sus reglas YARA e IOCs correspondientes.

El CCN-CERT ha publicado en la parte privada de su portal los Informes de Código Dañino CCN-CERT_ID-09-18_Trojan-Banker.Win32.ChePro y CCN-CERT_ ID-10-18_Trojan.Shiotob en los que se recoge un análisis de ambos malware. El primero de ellos, se centra en la familia de troyanos que ha sido diseñada para infectar sistemas y tomar su control, apoyándose principalmente en la ejecución de scripts y programas legítimos (contiene múltiples capas de ofuscación hasta su ejecución final).

En cuanto al código dañino Trojan.Shiotob es una familia de troyanos que también ha sido diseñada para infectar sistemas y tomar su control y es posible encontrar detecciones por parte de antivirus tras el nombre de URLZone. El malware utiliza multitud de métodos destinados a dificultar su análisis e inyecta código en el proceso explorer.exe para salir a Internet desde un proceso legítimo, con el objetivo de ponerse en contacto con los servidores de Mando y Control.

Como es habitual en este tipo de Informes, el CERT Gubernamental Nacional incluye las siguientes secciones:

•    Información y características del código dañino
•    Procedimiento de infección
•    Características Técnicas
•    Ofuscación
•    Persistencia en el sistema
•    Conexiones de red
•    Archivos relacionados
•    Detección y desinfección
•    Información del atacante

Además, se incluyen diversos Anexos con reglas de detección (Snort y Yara) e Indicadores de Compromiso (IoC).

Pueden acceder a los informes en la sección de Informes de Código Dañino del portal del CCN-CERT.

CCN-CERT (18/04/2018)