# Hands On MISP ### Incidente Reportado ``` De XyZ SOC Prezado Sr Jack Bauer, Recentemente, tivemos uma tentativa frustrada de spearphishing dirigida a nosso CEO com os seguintes detalhes: Nosso CEO recebeu um e-mail em 02/03/2021 15:56 contendo uma mensagem personalizada sobre um boletim escolar para seus filhos. O atacante fingiu estar trabalhando para o escola da filha do CEO, enviando um e-mail do endereço falsificado (john.doe@handson.edu). John Doe é um dos professores da filha do CEO. O e-mail foi recebido de throwaway-email-provider.com (137.221.106.104). O e-mail continha um arquivo malicioso (encontra-se em anexo) e que tentaria baixar um payload secundário de https://evilprovider.com/this-is-not-malicious.exe (também anexo, resolvendo para o IP 2607:5300:60:cd52:304b760d:da7:d5). Parece com a amostra está tentando explorar o CVE-2015-5465. Após uma breve triagem, o payload secundário tem um hardcoded C2 em https://another.evil.provider.com:57666 (118.217.182.36) para o qual ele tenta exfiltrar as credenciais locais. Até o momento temos tais informações. Por favor, esteja ciente de que esta é uma investigação em andamento, gostaríamos de evitar informar o atacante da detecção e gentilmente lhe pedir que use somente as informações contidas neste informe. Com os melhores cumprimentos, Sr. XyZ (SOC) ``` **Artefato:** [malware.exe](https://drive.google.com/file/d/1vfzCtLmUFEOjAqZawBa7ZrBfXHmwiHkp/edit) **(Senha: Infected) * Não é um malware real**