Servicio de Impuestos Internos - Malware
CMV24-00452Desde el CSIRT de Gobierno alertamos del descubrimiento de una nueva campaña de difusión de malware a través de email (malspam).
Esta campaña suplanta al Servicio de Impuestos Internos a través de un email que avisa de una supuesta emisión de boletas electrónicas.
Si la víctima interactúa con el archivo malicioso contenido en el email, se encuentra con Mekotio, un troyano bancario dirigido principalmente a naciones de Iberoamérica (con distintas campañas que apuntan a distintos países, como la actual, preparada para Chile), y que destaca por el uso de comandos de base de datos SQL para obtener información del sistema infectado y enviarlo al servidor de Comando y Control.
Indicadores de Compromiso
Tipo | Valor | Comentario |
---|---|---|
IPv4 | 162. 215. 218. 231 | IP SMTP |
IP:Puerto | 3. 145. 16. 157: 9092 | Comando y control |
IP:Puerto | 34. 117. 186. 192: 443 | Whois |
SHA256 | 7e643c188a1ee3b0251b7dfcab000b7c48fd840eff35189e8a45901852e3910a | ssleay32.dll |
SHA256 | 8d228007e8cceae46e99419aee6f33751875fd5f595e0c0274de9eb36ada48b6 | Informe-Detallado-02-24.msi |
SHA256 | 9bd19633fa2853c5361d394eeeeef5a026d9888d50bb04f678276a0aa1b577ed | Detallado.zip |
SHA256 | e28e34fbdaff077669586dcdb4e10f0ba2ca6c9973ed4d372a5c3ec3b8ad20e7 | libeay32.dll |
URL | https: //52zd. com/well-known/well-mail/images/0x33r5C61. php?hash=21290801-{Email} | URL redirección |
URL | https: //barbermoscow. ru/well-known/validation/?ID-R29vZ2xl/AVvXsEgBkvx3R9Lv-EitGCQg239N4QLPhQ2Z8WDD4l85ikvMvYYnHeq9TPAuY4DngucKhpYWhBuqVMD6rtYpuSHo47CKxq-Gxj1jn5uFcFnH_VnDAMxUj7C5wm8O8fwXFc6nJcpJSEhVHO5P1fvgWgTqPgb7bWfpJmIovvmm5aBb4JrfepG-ZurIEiU0xq3A8qvJ/s320/ | URL Contenedor del malware |
URL | https: //barbermoscow. ru/well-known/validation/?ID-R29vZ2xl/AVvXsEgBkvx3R9Lv-EitGCQg239N4QLPhQ2Z8WDD4l85ikvMvYYnHeq9TPAuY4DngucKhpYWhBuqVMD6rtYpuSHo47CKxq-Gxj1jn5uFcFnH_VnDAMxUj7C5wm8O8fwXFc6nJcpJSEhVHO5P1fvgWgTqPgb7bWfpJmIovvmm5aBb4JrfepG-ZurIEiU0xq3A8qvJ/s320/ | URL Verificación |
pwanmaxe@6859004. hostengines. com | Correo de salida | |
MITRE ATT&CK | T1012 | Consulta del Registro |
MITRE ATT&CK | T1120 | Descubrimiento de dispositivos periféricos |
MITRE ATT&CK | T1204. 002 | Archivo Malicioso |