2CMV23-00419-01 CSIRT alerta de nueva campaña de phishing con malware, que suplanta al Poder Judicial
El malware presente en esta campaña corresponde a un troyano bancario usado como puerta trasera para permitir al atacante acceder a los dispositivos de la víctima y así robar su información personal y bancaria de las sesiones de banca online que abran.
Resumen
|
El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT de Gobierno) ha identificado una nueva campaña de phishing con malware suplantando al Poder Judicial, difundida a través de un email que incluye una falsa notificación. El malware presente en esta campaña corresponde a un troyano bancario usado como puerta trasera para permitir al atacante acceder a los dispositivos de la víctima y así robar su información personal y bancaria de las sesiones de banca online que abran. Este programa malicioso posee además requiere de la resolución manual de un Captcha, prueba de desafío-respuesta, para ejecutar el malware en la maquina comprometida. |
Indicadores de Compromiso Asociados
Archivos que se encuentran en la amenaza
SHA256
| Indicador | Relación |
| 58cfa0e09bc0acc1bc993045633ea70e3cd3797ff55d86045168fee3db2562e1 | Archivo_Comprimido_SUYODPONUBVUCHGgypok.zip |
| 49123043ba4257cb61d00a931ea273f724a9cda06ec8eb107ddeab4d664ac883 | Resolucion_Archivo_Digital_0417890030DTSMBGJVDGntdlm.exe |
| 0604388f107d1ed9abbb13912e5cdc2f9a2da8d0e528fbb4546c23b2f08c6f15 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~A04468PPSCN.xml |
| 865f12dd2959457978155d2eb83833ea00d0afc06f3aa820866f6a55476ad3e4 | ID-Archivo_Attatchment_QQETVKNJJMXKJNTxmldp.zip |
| 84d73fd51c09a001c449100862d48062eee947bc2d632264f820cdf3393789ef | A8F_DOCFBS940708GA4_9131702116IZYYAQLMQCaurko.exe |
| 0604388f107d1ed9abbb13912e5cdc2f9a2da8d0e528fbb4546c23b2f08c6f15 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~A90427QABJC.xml |
| 816266195405aa5c6d9564f0db7fc58dca1c064558f7c96c47f7cbfc3bf68d7d | ID-Archivo_Attatchment_VDIXKIHAVBNFMHLatrzc.zip |
| 5ccb8f4becf4f5c5440d62ebb9c21abf84d5c564eb72ec9d12f27fc824307998 | A8F_DOCFBS940708GA4_7339372612YHEYOLYUJJxgelz.exe |
| 0604388f107d1ed9abbb13912e5cdc2f9a2da8d0e528fbb4546c23b2f08c6f15 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~A81876CLSDU.xml |
URL-Dominio
| Dominio | Relación |
| https://jccrivelliabogadospublicidad.brazilsouth.cloudapp[.]azure.com/ | Descarga del Fichero |
| http://20.206.121[.]188/ | Descarga del Fichero |
| https://www.dropbox[.]com/s/dl/wdw1uk4rc4iihly/ | Directorio del Malware |
| https://www.dropbox[.]com/s/dl/0thjroopb2nae4x/ | Directorio del Malware |
| https://www.dropbox[.]com/s/dl/zl93ykl0jlz7dcr/ | Directorio del Malware |
| http://ip-api[.]com/json | Whois |
MITRE ATT&CK
| Descripción | ID |
| Acceso Inicial (Mediante Phishing) | T1566.002 |
| Descubrimiento (Descubrimiento de información del sistema) | T1082 |
| Descubrimiento (Registro de consultas) | T1012 |
| Persistencia (Carga lateral de DLL) | T1574.002 |
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 2CMV23-00419-01.