2CMV24-00442-01 CSIRT alerta de nueva campaña de phishing con malware, difundido en falsa factura por vencer
Resumen
El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT de Gobierno) ha identificado una nueva campaña de phishing con malware, difundida en un correo electrónico haciéndose pasar por una supuesta firma “Asesoría e Inversiones” con un falso aviso del vencimiento de una factura electrónica. Si la víctima interactúa con el fichero malicioso se encuentra con Mekotio, un troyano bancario que destaca por el uso de comandos de base de datos SQL para obtener información del sistema infectado y enviarla a su servidor de comando y control. |
Indicadores de Compromiso Asociados
Archivos que se encuentran en la amenaza
SHA256
Indicador | Relación |
c98da79639217f83596fe9959fcc15d907255e098b972dc00535858710204cd8 | FactAsesoriasInversiones.zip |
ac2e3c0663c9ce6f5791afbddbb0614d8417efd230b08a0d68f84b923999c0e7 | FactAsesoriasInversiones.msi |
d955856d80c8127ccd38b7a04be1b48984078e9e6416e3c1846b772956dda003 | qvfphzy.dll |
52f41817669af7ac55b1516894ee705245c3148f2997fa0e6617e9cc6353e41e | aicustact.dll |
0831dbcb3799c9e36ea586582e8ef907dcefeb2045351d6774c7ad0ef02a9af2 | SoftwareDetector.dll |
URL-Dominio
Dominio | Relación |
https://sunsericorp[.]com/facturaAsesoriasInversiones/?hash={correo} | Descarga del Fichero |
https://sumitathemes[.]com/verdacted/FactAsesoriasInversiones.zip?13753358 | Contenedor Malware |
[email protected] | Correo de salida |
[email protected] | Correo de salida |
[email protected] | Correo de salida |
104.207.254[.]65 | IP de correo de salida |
66.228.42.147:8089 | C2 |
MITRE ATT&CK
Descripción | ID |
Acceso Inicial (Mediante Phishing) | T1566.002 |
Descubrimiento (Consulta del Registro) | T1012 |
Descubrimiento (Información del Sistema) | T1082 |
Descubrimiento (Equipos Perimetrales) | T1120 |
Comando y control (Puerto no estándar) | T1571 |
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 2CMV24-00442-01.