31 enero, 2024

2CMV24-00442-01 CSIRT alerta de nueva campaña de phishing con malware, difundido en falsa factura por vencer

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT de Gobierno) ha identificado una nueva campaña de phishing con malware, difundida en un correo electrónico haciéndose pasar por una supuesta firma “Asesoría e Inversiones” con un falso aviso del vencimiento de una factura electrónica.

Si la víctima interactúa con el fichero malicioso se encuentra con Mekotio, un troyano bancario que destaca por el uso de comandos de base de datos SQL para obtener información del sistema infectado y enviarla a su servidor de comando y control.

Indicadores de Compromiso Asociados  

Archivos que se encuentran en la amenaza

SHA256

Indicador Relación
c98da79639217f83596fe9959fcc15d907255e098b972dc00535858710204cd8 FactAsesoriasInversiones.zip
ac2e3c0663c9ce6f5791afbddbb0614d8417efd230b08a0d68f84b923999c0e7 FactAsesoriasInversiones.msi
d955856d80c8127ccd38b7a04be1b48984078e9e6416e3c1846b772956dda003 qvfphzy.dll
52f41817669af7ac55b1516894ee705245c3148f2997fa0e6617e9cc6353e41e aicustact.dll
0831dbcb3799c9e36ea586582e8ef907dcefeb2045351d6774c7ad0ef02a9af2 SoftwareDetector.dll

URL-Dominio

Dominio Relación
https://sunsericorp[.]com/facturaAsesoriasInversiones/?hash={correo} Descarga del Fichero
https://sumitathemes[.]com/verdacted/FactAsesoriasInversiones.zip?13753358 Contenedor Malware
support@colbits.com.co Correo de salida
support@alwaysnbs.tv Correo de salida
support@rogersgunsandgrips.com Correo de salida
104.207.254[.]65 IP de correo de salida
66.228.42.147:8089 C2

 

MITRE ATT&CK

 

Descripción ID
Acceso Inicial (Mediante Phishing) T1566.002
Descubrimiento (Consulta del Registro) T1012
Descubrimiento (Información del Sistema) T1082
Descubrimiento (Equipos Perimetrales) T1120
Comando y control (Puerto no estándar) T1571

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 2CMV24-00442-01.

2CMV24-00442-01 CSIRT alerta de nueva campaña de phishing con malware, difundido en falsa factura por vencer