@1ZRR4H@hiramcoop@vxunderground Muchas gracias, esos ejemplos usan el mismo loader. A validar que es. También vi un correo desplegando remcos, como viene mencionado en el enlace con un archivo xla, pero no lo detoné.
Encontré un correo malicioso interesante dirigido a Colombia. Usa varios tipos de archivos, esteganografía, carga .NET al vuelo desde powershell. Toda una joya. Todavía no descubro que es, pero seguiré investigando.
Encontré un correo malicioso interesante dirigido a Colombia. Usa varios tipos de archivos, esteganografía, carga .NET al vuelo desde powershell. Toda una joya. Todavía no descubro que es, pero seguiré investigando.
5. Inside ace is a ofuscated code double extension pdf.vbs
6. VBS code contiains powershell to download a jpg with base64 code added
7. Decoded code is a NET binary and loaded directly in memory from powershell to execute a method
8. Method received a reversed URL
1/
Encontré un correo malicioso posiblemente dirigido a México, falta revisar la descarga final, pero lo que llamó mi atención es que ahora usan el correo de yandex para descargar el payload.
7/
Algunas curiosidades.
Una pista del autor del payload: c:\U\Release\f0p3ded2.pdb
En la función principal usa una cadena fija y una clave, posiblemente para descifrarla