Fraude
Servicio de Impuestos Internos
Mekotio
Malware Bancario

Compartir:

Facebook Twitter Mastodon Telegram Twitter WhatsApp

Servicio de Impuestos Internos - Malware

CMV24-00452

Desde el CSIRT de Gobierno alertamos del descubrimiento de una nueva campaña de difusión de malware a través de email (malspam).

Esta campaña suplanta al Servicio de Impuestos Internos a través de un email que avisa de una supuesta emisión de boletas electrónicas.

Si la víctima interactúa con el archivo malicioso contenido en el email, se encuentra con Mekotio, un troyano bancario dirigido principalmente a naciones de Iberoamérica (con distintas campañas que apuntan a distintos países, como la actual, preparada para Chile), y que destaca por el uso de comandos de base de datos SQL para obtener información del sistema infectado y enviarlo al servidor de Comando y Control.

Indicadores de Compromiso

Tipo Valor Comentario
IPv4 162. 215. 218. 231 IP SMTP
IP:Puerto 3. 145. 16. 157: 9092 Comando y control
IP:Puerto 34. 117. 186. 192: 443 Whois
SHA256 7e643c188a1ee3b0251b7dfcab000b7c48fd840eff35189e8a45901852e3910a ssleay32.dll
SHA256 8d228007e8cceae46e99419aee6f33751875fd5f595e0c0274de9eb36ada48b6 Informe-Detallado-02-24.msi
SHA256 9bd19633fa2853c5361d394eeeeef5a026d9888d50bb04f678276a0aa1b577ed Detallado.zip
SHA256 e28e34fbdaff077669586dcdb4e10f0ba2ca6c9973ed4d372a5c3ec3b8ad20e7 libeay32.dll
URL https: //52zd. com/well-known/well-mail/images/0x33r5C61. php?hash=21290801-{Email} URL redirección
URL https: //barbermoscow. ru/well-known/validation/?ID-R29vZ2xl/AVvXsEgBkvx3R9Lv-EitGCQg239N4QLPhQ2Z8WDD4l85ikvMvYYnHeq9TPAuY4DngucKhpYWhBuqVMD6rtYpuSHo47CKxq-Gxj1jn5uFcFnH_VnDAMxUj7C5wm8O8fwXFc6nJcpJSEhVHO5P1fvgWgTqPgb7bWfpJmIovvmm5aBb4JrfepG-ZurIEiU0xq3A8qvJ/s320/ URL Contenedor del malware
URL https: //barbermoscow. ru/well-known/validation/?ID-R29vZ2xl/AVvXsEgBkvx3R9Lv-EitGCQg239N4QLPhQ2Z8WDD4l85ikvMvYYnHeq9TPAuY4DngucKhpYWhBuqVMD6rtYpuSHo47CKxq-Gxj1jn5uFcFnH_VnDAMxUj7C5wm8O8fwXFc6nJcpJSEhVHO5P1fvgWgTqPgb7bWfpJmIovvmm5aBb4JrfepG-ZurIEiU0xq3A8qvJ/s320/ URL Verificación
Email pwanmaxe@6859004. hostengines. com Correo de salida
MITRE ATT&CK T1012 Consulta del Registro
MITRE ATT&CK T1120 Descubrimiento de dispositivos periféricos
MITRE ATT&CK T1204. 002 Archivo Malicioso

Evidencias

Evidencia 1: