DHL - Suplantación con malware
CMV24-00461En el CSIRT de Gobierno encontramos una nueva campaña de difusión de malware a través de email (malspam). Los siguientes son los detalles.
En el correo electrónico malicioso, los delincuentes adjuntan un archivo en formato rar, disfrazada como una supuesta orden de entrega. Si la víctima ejecuta este archivo adjunto, comienza el proceso de infección con el malware conocido como Agent Tesla.
Agent Tesla es un malware que sustrae información confidencial y la envía a los atacantes. Para realizarlo, busca las credenciales que se almacenan en diferentes programas como navegadores, clientes de correos electrónicos, clientes FTP/SCP, bases de datos, herramientas de administración remota, aplicaciones VPN y de mensajería instantánea. Asimismo, este malware es capaz de robar datos del portapapeles, grabar las pulsaciones del teclado (keylogger) y realizar capturas de pantalla.
Agent Tesla envía toda la información sustraída a los atacantes por medio de correo electrónico, Telegram, Discord, subiéndolos a un sitio web o un servidor de FTP.
Indicadores de Compromiso
| Tipo | Valor | Comentario |
|---|---|---|
| IPv4 | 190. 5. 88. 142 | IP SMTP |
| SHA256 | 37ac69abe12f3ec977df53efd9e10a1c2f40eba5fab217cbce4e0fb5452c669f | DHL_734825514200.exe |
| SHA256 | 96ad1146eb96877eab5942ae0736b82d8b5e2039a80d3d6932665c1a4c87dcf7 | __PSScriptPolicyTest_m3o1eor2.raw.ps1 |
| SHA256 | d9b1d72dec9430f7bddc386ee8a621a9138f59cb921ee725fc592725d29785ac | DHL_734825514200.rar |
| mensaje@lovablehn. com | Correo de salida | |
| MITRE ATT&CK | T1005 | Datos del sistema local |
| MITRE ATT&CK | T1012 | Consulta del Registro |
| MITRE ATT&CK | T1059. 001 | Intérprete de comandos y scripts: PowerShell |
| MITRE ATT&CK | T1071. 001 | Protocolos web |
| MITRE ATT&CK | T1082 | Descubrimiento de información del sistema |
| MITRE ATT&CK | T1552. 001 | Credenciales en Archivos |
| MITRE ATT&CK | T1552. 002 | Credenciales del Registro |
| MITRE ATT&CK | T1555. 003 | Credenciales desde navegadores web |
| MITRE ATT&CK | T1566. 002 | Mediante Phishing |
Evidencias
