2CMV23-00418-01 CSIRT alerta de nueva campaña de phishing con malware, en email que suplanta al BancoEstado
Sí la victima interactúa con este falso documento ejecuta dos códigos maliciosos: Modiloader y Remcos.
Resumen
|
El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT de Gobierno) ha identificado una nueva campaña de phishing con malware, suplantando a BancoEstado con un falso aviso de pago. Sí la victima interactúa con este falso documento ejecuta dos códigos maliciosos los cuales son Modiloader y Remcos. Modiloader es un programa que se encarga de realizar las múltiples etapas en la carga útil del malware, mientras que Remcos se usa para obtener información, posee funciones de keylogger, puede grabar el micrófono y hacer capturas de pantalla, además de tomar control del equipo infectado. |
Indicadores de Compromiso Asociados
Archivos que se encuentran en la amenaza
SHA256
| Indicador | Relación |
| 797a26c77e77386595b546a20e2654c9e7c2c14294390a2e2a9eee715b9a392c | Aviso de pago del Banco del Estado.img |
| b5336f410d43416162e091970d023d3d4f6b93276bbeab99412056dfc1a78aa2 | BANCO_DE.EXE |
URL-Dominio
| Dominio | Relación |
| http://savory.com[.]bd/imagify-backup/167_Hpxmebnuzgs | Configuración del Malware |
| 193.239.84[.]153:9184 | Comando y Control |
| 217.16.85[.]25 | SMTP |
| info@znidarsic[.]si | Correo de Salida |
MITRE ATT&CK
| Descripción | ID |
| Acceso Inicial (Mediante Phishing) | T1566.002 |
| Ejecución (Ejecución del usuario) | T1204.002 |
| Descubrimiento (Consulta de Registro) | T1012 |
| Descubrimiento (Información del Sistema) | T1082 |
| Comando y Control (Codificación de datos) | T1132.001 |
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 2CMV23-00418-01.