2CMV20-00051-01 CSIRT advierte malware de liberación de pago a pensionados
CSIRT ha identificado una campaña de malware a través de un correo electrónico que utiliza el nombre de la Tesorería General de la República.
Resumen
El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT), ha identificado una campaña de malware a través de un correo electrónico que utiliza el nombre de la Tesorería General de la República.
El mensaje del correo indica que según la información entregada en los noticieros del canal público, a partir del 27 de marzo de 2020 comenzará la liberación del pago a los pensionados por concepto de contribuciones e informa que los contribuyentes que han realizado sus pagos a tiempo serán premiados con un descuento del 70% durante 3 meses. El atacante intenta persuadir a la potencial víctima que solo a través del enlace adjunto y que ingresando su rut podrá saber si es beneficiario de este descuento. Al ingresar al enlace se descarga un archivo ZIP. Una vez que se descomprime el archivo, se obtiene otro archivo con extensión ejecutable MSI. Al ser ejecutado, se realiza un proceso falso de instalación, pero en realidad se gatilla un script que descarga el malware.
Indicadores de compromisos
Servidor Smtp
[185.98.147.73]
[5.83.0.14]
[5.83.0.13]
[185.98.147.54]
[185.98.145.188]
[185.98.147.32]
[167.89.100.141]
[167.89.100.140]
[50.31.60.24]
[167.89.100.132]
[50.31.60.236]
Sender
emblue3prd_ctc@emark4[.]embluejet[.]com
Asunto
TGR – Liberación de pago
Url’s
http://u4208939[.]ct.sendgrid[.]net/ls/click
https://www[.]chaiyaphummunicipality[.]com/docs/stum[.]tdr
Archivos adjuntos
Archivo : TGR0903.zip
MD5 : 08ab7460137955cec0b63d33efb81859
Archivo : TGR0903.msi
MD5 : 3e8ee8a0ae092d4333296dd1f8b2b7ee
Archivo : stum.tdr
MD5 : f2b44aa09d25a254b3a918522c8490ee
Archivo : P6FIVPRV7G5A0K8LDL8PZ9HZNKCFQ1RD
MD5 : 2126b7d7e22820d87487d81aa3929ec9
Archivo : YRP6XF3X0SBKGQBE94GMEYSSN2
MD5 : c56b5f0201a3b3de53e561fe76912bfd
Archivo : EARP7Z12LMV2GUAPK8H8Z4ZT9MJ34
MD5 : dbc12f8dcb8f62a67e016dc231497be8
Recomendaciones
- Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java y otras).
- Evaluar el bloqueo preventivo de los indicadores de compromisos.
- Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.
- Revisar los controles de seguridad de los AntiSpam y SandBoxing.
- Realizar concientización permanente para los usuarios sobre este tipo de amenazas.
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 2CMV20-00051-01