Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Es muy importante que se compruebe que ninguno de los dos usuarios afectados han ejecutado los malware, y que estos
no se encuentran aún almacenados en el Sharepoint.
TLP:AMBER
Notificación amenaza de seguridad
• Análisis:
Se ha generado la alerta “QRADAR OFFENSE 50897. CU2.9 - O365 POSIBLE MALWARE BEHAVIOUR CONTAINING
FILE MALWARE DETECTED” tras detectar la subida de dos malware en el Sharepoint de IESE, en donde se detecta
como sistema afectado a SYSTEM@SHAREPOINT. Los usuarios de IESE que han subido estos archivos son
“cjsoto_iese_edu” y “jlagares_iese_edu” (basándonos en la carpeta del Sharepoint). Se detectan los siguientes
archivos maliciosos:
- https://iese365-my.sharepoint.com/personal/cjsoto_iese_edu/Documents/Software/GMer Antivirus
Rootkit detector and remover/fj7kmrff.exe
- https://iese365-my.sharepoint.com/personal/jlagares_iese_edu/Documents/Programas/Descarga 4
Portables Cs6 Español__14733_il249088.rar
No se ha podido obtener un hash de los archivos. En los eventos se registra la dirección IP de origen y destino
51[.]116[.]158[.]62, la cual se encuentra geolocalizada en el Reino Unido y pertenece a Microsoft. La fecha de
detección ha sido el 24 de diciembre del 2023 a las 04:06:40 PM.
Sin embargo, sin el hash no es posible determinar con exactitud çsi los archivos son un malware o no. En los
eventos no se ha detectado una acción realizada por el antivirus, por lo que la amenaza podría no estar
contenida.
TLP:AMBER
Notificación amenaza de seguridad
En el caso del malware Win32/Gmer, se ha descargado un archivo .exe de la “página oficial” de gmer, y se ha
ejecutado en Sandbox
El software al ser ejecutado indica que tu equipo tiene malware instalado, y que debe ser eliminado, cosa que es
falsa ya que la sandbox any.run se encuentra sin malware al inicio de su ejecución. Si subimos el archivo
ejecutable en Virustotal, obtenemos 35 detecciones como archivo malicioso.
TLP:AMBER
Notificación amenaza de seguridad
Payloads:
{"AppAccessContext":{"CorrelationId":"61e2faa0-502c-7000-c348-
498cf8c155f1"},"CreationTime":"2023-12-24T13:18:20","Id":"cf9bc651-2da5-426b-29f1-
08dc0482cc98","Operation":"FileMalwareDetected","OrganizationId":"ed0cd196-c46d-
43d9-813e-500e8c413eda","RecordType":6,"UserKey":"S-1-0-
0","UserType":4,"Version":1,"Workload":"OneDrive","ClientIP":"","UserId":"SHAREPOINT
\\system","CorrelationId":"61e2faa0-502c-7000-c348-
498cf8c155f1","EventSource":"SharePoint","ItemType":"File","ListId":"9d1abfa0-55ee-
4e97-b9f5-f7bff18b3cf8","ListItemUniqueId":"02b3e327-da6e-506e-4258-
55f40dadc56d","Site":"1ab3aaf2-46d4-4642-add1-
7545f8e56c28","UserAgent":"","WebId":"a652d360-2fda-444f-93ff-
de76d65bf771","HighPriorityMediaProcessing":false,"ListBaseType":0,"ListServerTempla
te":0,"SourceFileExtension":"rar","VirusInfo":"Win32/Mizenota","VirusVendor":"Defaul
t","SiteUrl":"https://iese365-
my.sharepoint.com/personal/jlagares_iese_edu/","SourceRelativeUrl":"Documents/Progra
mas","SourceFileName":"Descarga 4 Portables Cs6
Español__14733_il249088.rar","ObjectId":"https://iese365-
my.sharepoint.com/personal/jlagares_iese_edu/Documents/Programas/Descarga 4
Portables Cs6 Español__14733_il249088.rar"}
{"AppAccessContext":{"CorrelationId":"2ae8faa0-f038-7000-c348-
4270ee45a129"},"CreationTime":"2023-12-24T15:03:26","Id":"06d878ae-5b60-48ca-926b-
08dc04917b03","Operation":"FileMalwareDetected","OrganizationId":"ed0cd196-c46d-
43d9-813e-500e8c413eda","RecordType":6,"UserKey":"S-1-0-
0","UserType":4,"Version":1,"Workload":"OneDrive","ClientIP":"","UserId":"SHAREPOINT
\\system","CorrelationId":"2ae8faa0-f038-7000-c348-
4270ee45a129","EventSource":"SharePoint","ItemType":"File","ListId":"82de9b78-7571-
47d6-b685-c7478547a3df","ListItemUniqueId":"0c345598-4807-5d16-9e69-
16b50f97f727","Site":"3af1b463-b64b-4fbb-bbdc-
409c67c29d89","UserAgent":"","WebId":"cc32b2c1-e6e9-4d8c-b94e-
06c6cbc53212","HighPriorityMediaProcessing":false,"ListBaseType":0,"ListServerTempla
te":0,"SourceFileExtension":"exe","VirusInfo":"Win32/Gmer","VirusVendor":"Default","
SiteUrl":"https://iese365-
my.sharepoint.com/personal/cjsoto_iese_edu/","SourceRelativeUrl":"Documents/Software
/GMer Antivirus Rootkit detector and
remover","SourceFileName":"fj7kmrff.exe","ObjectId":"https://iese365-
my.sharepoint.com/personal/cjsoto_iese_edu/Documents/Software/GMer Antivirus Rootkit
detector and remover/fj7kmrff.exe"}
TLP:AMBER