30 enero, 2024

2CMV24-00441-01 CSIRT alerta de nueva campaña de phishing con malware, que suplanta al Conaset

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT de Gobierno) ha identificado una nueva campaña de phishing con malware, difundido en un email que suplanta al Conaset.

Si la víctima interactúa con el fichero malicioso se encuentra con Mekotio, un troyano bancario que destaca por el uso de comandos de base de datos SQL para obtener información del sistema infectado, la que envía a su servidor de comando y control.

Indicadores de Compromiso Asociados  

Archivos que se encuentran en la amenaza

SHA256

Indicador Relación
c1e0f5185a2efc13b4e821ee1a2d445634e87fb380306315c482c05ae26fbd55 conasetnotificacioninfra.zip
17a6f57be6897d2a7456ad9b0f5bc798b951c6c41b2511886706edee16c5c14c conasetnotificacioninfra.msi
36a9e7f1c95b82ffb99743e0c5c4ce95d83c9a430aac59f84ef3cbfab6145068 l.txt
52f41817669af7ac55b1516894ee705245c3148f2997fa0e6617e9cc6353e41e aicustact.dll
b55333f085db8ef18ca3ba73a7b3984b3917d95c4f3fa57f939ebfe89c82a03c rmateoo.dll
0831dbcb3799c9e36ea586582e8ef907dcefeb2045351d6774c7ad0ef02a9af2 SoftwareDetector.dll

URL-Dominio 

Dominio Relación
https://windbender[.]com/conasetinfraccione/?hash={correo} Descarga del Fichero
https://plataformaepimexicoenganchate[.]org/111xxx/conasetnotificacioninfra.zip Contenedor Malware
support@litfun.com Correo de salida
support@alwaysnbs.tv Correo de salida
support@colbits.com.co Correo de salida
support@ambaniorganics.com Correo de salida
support@shop.stadsbrouwerijeindhoven.com Correo de salida
support@rogersgunsandgrips.com Correo de salida
104.207.254[.]65 IP de correo de salida

MITRE ATT&CK 

Descripción ID
Acceso Inicial (Mediante Phishing) T1566.002
Descubrimiento (Consulta del Registro) T1012
Descubrimiento (Información del Sistema) T1082
Descubrimiento (Equipos Perimetrales) T1120
Comando y control (Puerto no estándar) T1571

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 2CMV24-00441-01.

2CMV24-00441-01 CSIRT alerta de nueva campaña de phishing con malware, que suplanta al Conaset