2CMV24-00449-01 CSIRT advierte phishing con malware con una falsa demanda
El CSIRT de Gobierno ha identificado una nueva campaña de phishing con malware suplantando con una falsa acción de demanda.
Resumen
| El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT de Gobierno) ha identificado una nueva campaña de phishing con malware suplantando con una falsa acción de demanda.
Este troyano bancario llamado grandoreiro dirigido a los países de Latinoamérica, este programa malicioso es usado como puerta trasera para permitir al atacante acceder a los dispositivos de la víctima y así robar su información personal y bancaria en las sesiones de banca online que abran. Este malware posee una técnica de CAPTCHA, en particular, requiere la realización manual de la prueba de desafío-respuesta para ejecutar el malware en la maquina comprometida, lo que significa que el implante no se ejecuta al menos que la víctima resuelva este CAPTCHA. |
Indicadores de Compromiso Asociados
Archivos que se encuentran en la amenaza
SHA256
| Indicador | Relación |
| 571c694a88a7187135e203990af43edcab1234406d3ffe964b60b0aa26b4060b | 1020-TFWAC-4702509150918285.zip |
| a74b87754eb9a6a7e6b19da79eb02192b6e1a802fe58d037065a33ac7171f57d | 6645 Detalles-5931LSOP FC-RGXR78118123 Ref-DP-UHTT9388.exe |
| f2d850025dd7b65c44d979ec74a3f5a77e1c15b4070812be5656887cee95dc59 | _________________________________________________________________________5942FMJI4480GTFA.xml |
| 013dbfa17653c4fc89a20f7c988bdfb6b5c3367a0c6a8e3a87e189e164e53460 | pRcRVZUG.xml |
URL-Dominio
| Dominio | Relación |
| https://ijfacdigitasmitty.swedencentral.cloudapp[.]azure.com/?finanzas.busqueda?q=Secretar%C3%ADa+de+Administraci%C3%B3n+y+Finanzas?30337974_3097_705331937556-157889157889770732479410588494105884 | Descarga del Fichero |
| https://www.dropbox[.]com/scl/fi/8xvft27zvs4k1u3lhvdi3/4988-TFWAC-6807205622474888.zip?rlkey=w86llc6ks6ir69k4sojnnbyxl&dl=1 | Redirección de directorio |
| https://uc4a4d5347b517a418e5ce058c49.dl.dropboxusercontent[.]com/cd/0/get/COcN3jlLD1RVwb3YUwmP-jCtwYOJCQzfcQon2q7wsiSp7PZXnNSSJZY5gdLQlSBg-wYSkh3J4M90J2pBog04-nt5EZ8ncxABITlOIIa9hCgauTarAXZtVHCLLSkH3mZLeTyH4bjWHFV5u2SIkSBBdaha/file?dl=1# | Contenedor de malware |
| http://15.229.46.181:40187/pRcRVZUG.xml | Payload |
| 15.229.46[.]181:40187 | C2 |
| http://ip-api.com/json | Whois |
| [email protected][.]com | Correo de salida |
| [email protected][.]com | Correo de salida |
| [email protected][.]com | Correo de salida |
| [email protected][.]com | Correo de salida |
| [email protected][.]com | Correo de salida |
| [email protected][.]com | Correo de salida |
MITRE ATT&CK
| Descripción | ID |
| Acceso Inicial (Mediante Phishing) | T1566.002 |
| Ejecución por el usuario (Archivo malicioso) | T1204.002 |
| Enmascaramiento (Renombrar las Utilidades del Sistema) | T1036.003 |
| Credenciales no garantizadas (Credenciales en archivos) | T1552.001 |
| Descubrimiento (Consulta del Registro) | T1012 |
| Descubrimiento (Detección de la configuración de red del sistema) | T1016 |
| Comando y control (Puerto no estándar) | T1571 |
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 2CMV24-00449-01