Compañía General de Electricidad (CGE) - Suplantación con malware
CMV24-00455Desde el CSIRT de Gobierno alertamos del descubrimiento de una nueva campaña de difusión de malware a través de email (malspam).
Esta campaña consiste en la difusión de emails que suplantan a la Compañía General de Electricidad (CGE) alegando un falso retraso en el pago de una factura. Los delincuentes adjuntan el enlace para, supuestamente, descargar una factura.
Si la víctima interactúa con el enlace malicioso se encuentra con Mekotio, un troyano bancario dirigido principalmente a naciones de Iberoamérica (con distintas campañas que apuntan a distintos países, como la actual, preparada para Chile), y que destaca por el uso de comandos de base de datos SQL para obtener información del sistema infectado y enviarlo al servidor de Comando y Control.
Indicadores de Compromiso
| Tipo | Valor | Comentario |
|---|---|---|
| SHA256 | 19ef6dcc8257fc55032aa97eb5613a8dc35cfd41bf4804d239ee349d03b7129c | factnuevamarzocgeboletaeletricidad.zip |
| IPv4 | 209. 59. 174. 255 | IP SMTP |
| IP:Puerto | 23. 239. 3. 218: 9091 | Comando y control |
| IPv4 | 34. 117. 186. 192 | Whois |
| SHA256 | 5cc97524d9ab2d29019d545b06f8ef8fcf5b9fb8ee257d7352a619f8950f5449 | factnuevamarzocgeboletaeletricidad.msi |
| SHA256 | 7e643c188a1ee3b0251b7dfcab000b7c48fd840eff35189e8a45901852e3910a | ssleay32.dll |
| SHA256 | e28e34fbdaff077669586dcdb4e10f0ba2ca6c9973ed4d372a5c3ec3b8ad20e7 | libeay32.dll |
| Dominio | https: //anchoriaatrade. com/nuevafactura/cgeletricidadboletamarzo/?hash={Email} | Redirección |
| URL | https: //digitalmukesh. info/fileman/factnuevamarzocgeboletaeletricidad. zip?282629426 | Descarga del fichero |
| support@augustineformayor. ca | Correo de salida | |
| support@banglachotigolpo. top | Correo de salida | |
| support@ikaglm. com | Correo de salida | |
| support@johnwilliamnelson. com | Correo de salida | |
| support@lot. ziy. cc | Correo de salida | |
| support@uncutmaza. club | Correo de salida | |
| support@uww-reg. ru | Correo de salida | |
| MITRE ATT&CK | T1012 | Consulta del Registro |
| MITRE ATT&CK | T1082 | Información del Sistema |
| MITRE ATT&CK | T1566. 002 | Acceso Inicial Mediante Phishing |
| MITRE ATT&CK | T1571 | Puerto no estándar |
Evidencias
