2CMV24-00440-01 CSIRT alerta de nuevo phishing con malware, que suplanta al SII

Si la víctima interactúa con el fichero malicioso se encuentra con Mekotio, un troyano bancario dirigido principalmente a naciones de Iberoamérica.

2CMV23-00440-01.jpg

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT de Gobierno) ha identificado una nueva campaña de phishing con malware suplantando al Servicio de Impuestos Internos con una falsa factura.

Si la víctima interactúa con el fichero malicioso se encuentra con Mekotio, un troyano bancario dirigido principalmente a naciones de Iberoamérica.

Indicadores de Compromiso Asociados  

Archivos que se encuentran en la amenaza 

SHA256

Indicador Relación
5a77ae65d77068dee0b029678b84f0234c4788a4de45e8f6f2390b1f09c7cee4 citacionpoderjudicl.zip
a510907486ad34776ddc8c47e08ebd98e985ff9c41b7aede9c8cdd011160a17d citacionpoderjudicl.msi
36a9e7f1c95b82ffb99743e0c5c4ce95d83c9a430aac59f84ef3cbfab6145068 l.txt
e28e34fbdaff077669586dcdb4e10f0ba2ca6c9973ed4d372a5c3ec3b8ad20e7 libeay32.dll
7e643c188a1ee3b0251b7dfcab000b7c48fd840eff35189e8a45901852e3910a ssleay32.dll
98c1f23e6e3176b902dd0446909a5065cbacbd4b3f15ea831d5b7ab01605bea6 ezexdqbe.dll

URL-Dominio

Dominio Relación
https://ccpt.gov[.]ng/wps/01923i6C/0D17F5S33/[email protected] Descarga del Fichero
https://jw-ict[.]l/330215B8F11/776T0231CC/02722.php?/mail/0/inbox/id/AQMkADAwATNiZmYAZC1hNDU4LWRkADc2LTAwAi0wMAoARgAAA1kchXVlHz5CjfaazERwbi8HANHs14LD%2BI9Bt5SmE8UpN2gAAAIBDAAAA Contenedor Malware
https://silviza[.]cl/mail/F981233/UC1023IF8B/home.php?hash=G-O-V Contenedor Malware
Support-Sii@mail66322708[.]cl Correo de salida
50.63.9[.]88 IP de correo de salida
18.221.32[.]222:9795 C2

MITRE ATT&CK

Descripción ID
Acceso Inicial (Mediante Phishing) T1566.002
Descubrimiento (Consulta del Registro) T1012
Descubrimiento (Información del Sistema) T1082
Descubrimiento (Equipos Perimetrales) T1120
Comando y control (Puerto no estándar) T1571

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 2CMV24-00440-01.