2CMV20-00049-01 CSIRT advierte de malware por obligaciones de deudas
Resumen
El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT), ha identificado una campaña de malware a través de un correo electrónico que utiliza el nombre de la Tesorería General de la República. El mensaje del correo indica que existen obligaciones de deuda producto de una liquidación tributaria que se encuentra impaga.
En el mensaje se agrega un enlace que, una vez seleccionado, descarga un archivo ZIP. Al descomprimir el archivo se obtiene otro archivo con extensión ejecutable MSI. Al ser ejecutado, se realiza un proceso falso de instalación, pero en realidad se gatilla un script que descarga el malware.
Indicadores de compromisos
Servidor Smtp
[13.84.134.242]
[13.92.255.204]
[23.99.97.237]
[23.101.210.70]
[40.69.28.21]
[40.78.44.186]
[40.78.128.224]
[40.89.156.120]
[40.89.177.122]
[40.113.84.152]
[51.143.7.33]
[51.144.134.131]
[52.141.6.62]
[52.175.64.57]
[52.177.64.12]
[52.178.101.205]
[52.187.1.120]
[52.187.171.123]
[52.231.54.87]
[52.250.14.83]
[65.52.13.104]
[102.37.13.146]
[102.37.14.216]
Sender
www-data[@]live[.]com
Asunto
Tesoreria General de la República (TGR)
Url’s:
http[:]//tgrestado[.]xyz/home/
IP:
[34.216.250.212]
[172.217.4.238]
[18.204.210.148]
Archivos adjuntos.
Archivo : l11022020001508Bl.zip
SHA-256 :90DD31A63B4968E279D0C8FB0646C8668BED5361ACCDBFA60B578DC4A2DF568F
Archivo : IMG--1102202015206004.msi
SHA-256 : F088D595398D7C79065F2392D5075BE8523E5CA79372A5EC407174F5BA924101
Archivo : msiexec.exe
SHA-256 : 83D965138A2FC05F5A403D43C9425AFC1360EB793B3D94C64037F0F848467E22
Archivo : 4eGeVYCm.exe
SHA-256 : 237D1BCA6E056DF5BB16A1216A434634109478F882D3B1D58344C801D184F95D
Imagen Mensaje
Recomendaciones
- Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java y otras)
- Evaluar el bloqueo preventivo de los indicadores de compromisos
- Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas
- Revisar los controles de seguridad de los AntiSpam y SandBoxing
- Realizar concientización permanente para los usuarios sobre este tipo de amenazas
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 2CMV20-00049-01