2CMV23-00429-01 CSIRT alerta de campaña de phishing con malware Mekotio, difundida en email que suplanta al SII
Si la víctima interactúa con el fichero malicioso se encuentra con Mekotio, un troyano bancario que destaca por el uso de una base de datos SQL como servidor de comando y control.
Resumen
|
El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT de Gobierno) ha identificado una nueva campaña de phishing con malware que suplanta al Servicios de Impuestos Internos en un mail falso sobre una supuesta factura no pagada. Si la víctima interactúa con el fichero malicioso se encuentra con Mekotio, un troyano bancario que destaca por el uso de una base de datos SQL como servidor de comando y control. |
Indicadores de Compromiso Asociados
Archivos que se encuentran en la amenaza
SHA256
| Indicador | Relación |
| 65dd04ec6ea0baf56b2ef31e170c826d7f10797be56f13c476bf669b4419c75b | siiFactmarzover.zip |
| 6f1322c3e2a7869f0ff396a0b6d8df069a61af4b04fa65b924bab9fab1aa843f | siiFactmarzover.msi |
URL-Dominio
| Dominio | Relación |
| https://www.stivsolutions[.]com/factsiimarzonopagada/verfact/?hash={mail} | Descarga del Fichero |
| https://www.stivsolutions[.]com/factsiimarzonopagada/ | Contenedor Malware |
| support@thesamator[.]com | Correo de salida |
MITRE ATT&CK
| Descripción | ID |
| Acceso Inicial (Mediante Phishing) | T1566.002 |
| Descubrimiento (Consulta del Registro) | T1012 |
| Descubrimiento (Información del Sistema) | T1082 |
| Descubrimiento (Equipos Perimetrales) | T1120 |
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 2CMV23-00429-01.