Fraude
Servicio de Impuestos Internos
Mekotio
Malware Bancario
SII

Compartir:

Facebook Twitter Mastodon Telegram Twitter WhatsApp

Servicio de Impuestos Internos - Malware

CMV24-00453

Desde el CSIRT de Gobierno alertamos del descubrimiento de una nueva campaña de difusión de malware a través de email (malspam).

En esta ocasión, se trata de una campaña de phishing con malware, distribuido a través de un email que se hace pasar como proveniente del Servicio de Impuestos Internos (SII). El correo electrónico alude a un supuesto problema en la emisión de boletas electrónicas.

Si la víctima interactúa con el fichero malicioso incluido en el email se encuentra con Mekotio, un troyano bancario dirigido principalmente a naciones de Iberoamérica (con distintas campañas que apuntan a diferentes países, como la actual, preparada para Chile) y que destaca por el uso de comandos de base de datos SQL para obtener información del sistema infectado y enviarlo al servidor de Comando y Control.

Indicadores de Compromiso

Tipo Valor Comentario
SHA256 054b7fb5c8aece945a0162b21dad6ad0436c07201e20f17db9f5d0628958a785 Detallado.zip
IP:Puerto 3. 145. 16. 157: 9092 Comando y control
IPv4 34. 117. 186. 192 Whois
SHA256 7e643c188a1ee3b0251b7dfcab000b7c48fd840eff35189e8a45901852e3910a ssleay32.dll
SHA256 ac789666d9867918d589bcacfe0fded5300026ff019ccba122f73e7cf634e431 Informe-Detallado-05-2024.msi
SHA256 e28e34fbdaff077669586dcdb4e10f0ba2ca6c9973ed4d372a5c3ec3b8ad20e7 libeay32.dll
URL https: //alzahrani. bio/well-mail/images/0x62r3f44. php?hash=11426568-{Correo} URL de redirección
URL https: //hairsalon. eu. org/tuny/Detallado. zip?template=7209dec932165035541270427f1007cf=Initiate&valid=true&session=dd7209dec932165035541270427f1007cf URL contenedora del malware
URL https: //tadam. pro/well-known/images/index. php?id/AQQkADAwATYwMAItZjIyAGUtZGU5My0wMAItMDAKABAAc8bN7GQe%2FEiwUGGcsQl%2BxA%3D%/0/junkemail/id/AQMkADAwATYwMAItZjIyAGUtZGU5My0wMAItMDAKAEYAAAON7YLP5Z99SqeVMkDuw%2FoTBwCnwQJz51N6QLeL7%2BoUAOpjAAACASIAAACnwQJz51N6QLeL7%2BoUAOpjAAc0nHJLAAAA URL redirección repositorio malware
Email informe-27176230@sii. info Correo de cabecera
Email informe-48936735@sii. info Correo de cabecera
Email informe-49884541@sii. info Correo de cabecera
Email Informe-N12060656@sii. info Correo de cabecera
Email pwanmaxe@6859004. hostengines. com Correo de salida
Asunto Email REQUERIMIENTO PARA RESOLVER EL TRÁMITE - Ultimos dias. - ( 7322458 ) Asunto correo

Evidencias

Evidencia 1: