2CMV24-00445-01 CSIRT alerta de nueva campaña de phishing que incluye al malware Grandoreiro
El malware corresponde al troyano bancario Grandoreiro, dirigido a los países de Latinoamérica.
![2CMV24-00445-01.jpg](https://media.ciberseguridad.gob.cl/images/2CMV24-00445-01.2e16d0ba.format-jpeg.fill-1200x600.jpg)
Resumen
El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT de Gobierno) ha identificado una nueva campaña de phishing con malware, contenido en una falsa factura. El malware corresponde al troyano bancario Grandoreiro, dirigido a los países de Latinoamérica. Es usado como puerta trasera para permitir al atacante acceder a los dispositivos de la víctima y así robar su información personal y financiera en las sesiones de banca online que abran. |
Indicadores de Compromiso Asociados
Archivos que se encuentran en la amenaza
SHA256
Indicador | Relación |
bd62e3f190f376ece6e9c3c92f24fd366230bcb059d3c010e6699b4e5b90a27d | FC-SAT0251706897350138.zip |
8347a377b7041c6e2f85506cc57e1cf3b343817435f6dcefefd9892a3ac3a411 | 5302 Factura SAT - RFC Emisor-8856VFPF - Serie-DORM99781391 Ref-AHOK5520.exe |
f2d850025dd7b65c44d979ec74a3f5a77e1c15b4070812be5656887cee95dc59 | _________________________________________________________________________6236OPLZ9308UYLG.xml |
URL-Dominio
Dominio | Relación |
https://edrfacdigitservconsulospl.westus3.cloudapp.azure[.]com/?docs/xml/WCA161006TN9/15540f02-d006-4e3b-b2de-6873baff3b2a | Descarga del Fichero |
https://www.dropbox[.]com/scl/fi/zrh7teb6n5rlkkazv6ap6/FC-SAT0251706897350138.zip?rlkey=4e6gas0wul37n18p5frzmwgmb&dl=1 | Directorio del Malware |
https://ucb3350fbdf464fe7d3ee4744f6d.dl.dropboxusercontent[.]com/cd/0/get/CNVBSYNyoQmzOd6mA9WDT11QrBJQD24EGybWVmx3tFTycJsc9qxFmBjYkcT1rwnV-sr3fKdk0XDeDGYUfBrbVGzK2ztsg5jn1UZqnL31pbNVJl9q1MuP0ekT5ooJokyd6n9stqKbhE-LHZya_YyeaSWO/file?dl=1# | Directorio Malware |
http://18.231.53.141:40626/iOvNGsPS1xAiG1vvKZ.txt | Fichero comprobación |
http://18.230.211[.]48:30657/RVTBoFMeBv.xml | Archivo ZIP |
http://ip-api[.]com/json | Whois |
18.230.211[.]48:4318 | IP |
18.230.211[.]48:30657 | IP |
[email protected] | Correo de salida |
[email protected] | Correo de salida |
[email protected] | Correo de salida |
MITRE ATT&CK
Descripción | ID |
Acceso Inicial (Mediante Phishing) | T1566.002 |
Ejecución (Ejecución del usuario) | T1204.002 |
Acceso a credenciales (Credenciales en archivos) | T1552.001 |
Descubrimiento (Descubrimiento de información del sistema) | T1082 |
Descubrimiento (Consulta de registro) | T1012 |
Descubrimiento (Descubrimiento de software) | T1518 |
Descubrimiento (Detección de la configuración de red del sistema) | T1016 |
Comando y control (Puerto no estándar) | T1571 |
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 2CMV24-00445-01.