2CMV23-00418-01 CSIRT alerta de nueva campaña de phishing con malware, en email que suplanta al BancoEstado
Sí la victima interactúa con este falso documento ejecuta dos códigos maliciosos: Modiloader y Remcos.
Resumen
El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT de Gobierno) ha identificado una nueva campaña de phishing con malware, suplantando a BancoEstado con un falso aviso de pago. Sí la victima interactúa con este falso documento ejecuta dos códigos maliciosos los cuales son Modiloader y Remcos. Modiloader es un programa que se encarga de realizar las múltiples etapas en la carga útil del malware, mientras que Remcos se usa para obtener información, posee funciones de keylogger, puede grabar el micrófono y hacer capturas de pantalla, además de tomar control del equipo infectado. |
Indicadores de Compromiso Asociados
Archivos que se encuentran en la amenaza
SHA256
Indicador | Relación |
797a26c77e77386595b546a20e2654c9e7c2c14294390a2e2a9eee715b9a392c | Aviso de pago del Banco del Estado.img |
b5336f410d43416162e091970d023d3d4f6b93276bbeab99412056dfc1a78aa2 | BANCO_DE.EXE |
URL-Dominio
Dominio | Relación |
http://savory.com[.]bd/imagify-backup/167_Hpxmebnuzgs | Configuración del Malware |
193.239.84[.]153:9184 | Comando y Control |
217.16.85[.]25 | SMTP |
info@znidarsic[.]si | Correo de Salida |
MITRE ATT&CK
Descripción | ID |
Acceso Inicial (Mediante Phishing) | T1566.002 |
Ejecución (Ejecución del usuario) | T1204.002 |
Descubrimiento (Consulta de Registro) | T1012 |
Descubrimiento (Información del Sistema) | T1082 |
Comando y Control (Codificación de datos) | T1132.001 |
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 2CMV23-00418-01.