2CMV23-00417-01 CSIRT alerta de nueva campaña de phishing con malware, que suplanta al SII
![2CMV23-00417-01.jpg](https://media.ciberseguridad.gob.cl/images/2CMV23-00417-01.2e16d0ba.format-jpeg.fill-1200x600.jpg)
Resumen
El CSIRT de Gobierno ha identificado una nueva campaña de phishing con malware suplantando al Servicio de Impuestos Internos con una falsa factura no pagada. Si la víctima interactúa con el fichero malicioso, se encuentra con Mekotio, un troyano bancario que apunta principalmente a Brasil, Chile, México, España, Perú y Portugal y cuya característica más notable en las variantes más recientes es el uso de una base de datos SQL como servidor de C2. Esta es una variante a la campaña de Conaset, donde se atraía al destinatario a hacer clic en un enlace de email con la excusa de contener una falsa multa de tránsito, la cual si no era pagada desencadenaría una acción judicial. |
Indicadores de Compromiso Asociados
Archivos que se encuentran en la amenaza
SHA256
Indicador | Relación |
203d8a6e596cad036eae854e7484509a11ee35547ca5e1f2b2249ae825ec714f | nopagadafacSiimarzo.zip |
3d5f0dbce1204d0db72b9574800bef878015fdbbe7b24dc5b553caed5da4dc5a | nopagadafacSiimarzo.msi |
6d2f67ddd2438baa14e2565e02e015296db31daf3d03410e7c783e89c785e614 | Siifactmarzo.zip |
3d5f0dbce1204d0db72b9574800bef878015fdbbe7b24dc5b553caed5da4dc5a | Siifactmarzo.msi |
f178861e00b0a2ba7d50c103ac41ac6eb89e7c6232bd25bd1fa8752a8871e445 | nopagadafacturaSii.zip |
3d5f0dbce1204d0db72b9574800bef878015fdbbe7b24dc5b553caed5da4dc5a | nopagadafacturaSii.msi |
URL-Dominio
Dominio | Relación |
https://gscjgn[.]org/marzosiifact/nopagada/Factsii/ | Descarga del Fichero |
https://cmg-technology[.]ro/zpnuevo/ | Contenedor de Malware |
103.235.105[.]113 | IP Pagina Descarga |
188.240.2[.]189 | IP Pagina Contenedora |
50.116.72.199 | IP Correo |
158.69.109.191 | IP Correo |
162.214.157.170 | IP Correo |
MITRE ATT&CK
Descripción | ID |
Acceso Inicial (Mediante Phishing) | T1566.002 |
Colección (Datos del sistema local) | T1005 |
Acceso a Credenciales (Credenciales en Archivos) | T1081 |
Evasión de Defensa (Modificación de registro) | T1112 |
Evasión de Defensa (Evasión de Virtualización/Sandboxing) | T1497 |
Descubrimiento (Consulta del Registro) | T1012 |
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 2CMV23-00417-01.