Compartir:

Facebook Twitter Mastodon Telegram Twitter WhatsApp

2CMV23-00406-01 CSIRT alerta de nueva campaña de phishing con malware, difundido en falsa sentencia judicial

2CMV23-00406-01.jpg

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT de Gobierno) ha identificado una nueva campaña de phishing con malware, que se difunde por medio de correo masivo que simular ser una citación judicial.

El programa Remcos puede ser usado legítimamente para la gestión remota de sistemas Windows, pero actualmente es también ampliamente utilizado en campañas maliciosas por parte de actores de amenazas. Bajo este modo de uso, Remcos actúa como un sofisticado troyano de acceso remoto (RAT) que puede utilizarse para controlar y vigilar por completo cualquier computador con Windows.

Advertencia sobre gestión de IoC 

Los patrones expresados en forma de hash de un archivo pueden ser administrados con herramientas centralizadas y distribuidas, como firewall y antimalware. Las organizaciones deben tomar resguardo de incorporar un hash que pudiere estar vinculado a un archivo o DLL válida dentro de un sistema.

Al gestionar patrones potencialmente maliciosos con nombres de host o IP, se debe considerar que la relación entre nombre FQDN e IP puede cambiar en el tiempo, y que una dirección IP específica puede estar siendo usada por un proveedor de web hosting que puede tener más de un dominio asociado a dicha IP.

En consecuencia, se recomienda tener un orden de prioridades a la hora de ejecutar un bloqueo, considerando al menos:

  • El uso de un dispositivo WAF que pueda discriminar el nombre FQDN potencialmente malicioso por sobre la IP.
  • El uso de un firewall que permita integrar listas de bloqueo FQDN sin necesitar conversión a IP.
  • El uso de sistemas proxy que permitan bloquear el FQDN sin necesitar la conversión a IP.
  • En última instancia, incorporar el bloqueo de la IP verificando que no corresponda a un esquema de web hosting, porque existe la posibilidad de bloquear los restantes dominios implementados que utilizan la misma dirección IP.

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 2CMV23-00406-01.