2CMV23-00420-01 CSIRT alerta de nueva campaña de phishing con malware en falso documento comercial
Agent Tesla envía toda la información sustraída a los atacantes por medio de correo electrónico, Telegram o los sube a un sitio web o servidor de FTP.
![2CMV23-00420-01.jpg](https://media.ciberseguridad.gob.cl/images/2CMV23-00420-01.2e16d0ba.format-jpeg.fill-1200x600.jpg)
Resumen
El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT de Gobierno) ha identificado una nueva campaña de phishing con malware, difundida a través de emails con información de ventas. El malware incluido en estos correos electrónicos maliciosos es Agent Tesla, programa que sustrae información confidencial y la envía a los atacantes. Para lograrlo, busca las credenciales que se almacenan en diferentes programas como navegadores, clientes de correo electrónico, clientes FTP/SCP, bases de datos, herramientas de administración remota, VPN y mensajería instantánea. Además, este malware es capaz de robar datos que se encuentren en el portapapeles, grabar las pulsaciones del teclado (función de keylogger) y realizar capturas de pantalla. Agent Tesla envía toda la información sustraída a los atacantes por medio de correo electrónico, Telegram o los sube a un sitio web o servidor de FTP. |
Indicadores de Compromiso Asociados
Archivos que se encuentran en la amenaza
SHA256
Indicador | Relación |
4fd825574f5084d155dc6deacedb51ba422cc3904b651af71b7298a9e8ab202f | Pedido P20230620-N enviado_pdf.uue |
371de82ecda3f11d11e98a6265274bb708b2350ad47c77b4319da1d51764f64b | Pedido P20230620-N enviado_pdf.exe |
URL-Dominio
Dominio | Relación |
40.79.189[.]59 | IP |
209.197.3[.]8 | IP |
http://api.ipify[.]org/ | Whois |
MITRE ATT&CK
Descripción | ID |
Acceso Inicial (Mediante Phishing) | T1566.002 |
Colección (Datos del sistema local) | T1005 |
Colección (Colección de correos) | T1114 |
Credenciales de acceso | T1081 |
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 2CMV23-00420-01.