Email con falsa cotización - Suplantación con malware
CMV24-00456Desde el CSIRT de Gobierno alertamos del descubrimiento de una nueva campaña de difusión de malware a través de email (malspam).
Esta campaña es distribuida en emails que indican falsamente contener una cotización. De interactuar con el archivo adjunto incluido en el correo electrónico, un archivo en formato r00, comienza el proceso de despliegue del malware conocido como Agent Tesla.
Agent Tesla es un malware que sustrae información confidencial y la envía a los atacantes. Este programa malicioso busca las credenciales que se almacenan en diferentes programas como navegadores, clientes de correos electrónicos, clientes FTP/SCP, bases de datos, herramientas de administración remota, aplicaciones VPN y aplicaciones de mensajería instantánea.
Además, este malware es capaz de robar datos que se encuentren en el portapapeles, grabar las pulsaciones del teclado (keylogger) y realizar capturas de pantalla.
Agent Tesla envía toda la información sustraída a los atacantes por medio de correo electrónico, en algunas modificaciones del malware también pueden transferir datos por medio de Telegram, discord o subirlos a un sitio web o un servidor de FTP
Indicadores de Compromiso
Tipo | Valor | Comentario |
---|---|---|
IP:Puerto | 185. 14. 202. 230: 587 | Comando y control |
IPv4 | 31. 214. 169. 34 | IP SMTP |
SHA256 | 34f838011c9242be21fc440f803dbc271a19e7cbf35dd585b68566df577e0cea | cotizacion_326092.exe |
SHA256 | 96ad1146eb96877eab5942ae0736b82d8b5e2039a80d3d6932665c1a4c87dcf7 | __PSScriptPolicyTest_dz0fmqcy.xvc.ps1 |
SHA256 | cbceb77aadc2e48791ffca911e04cb4fafad3d29545535b11c08d26e4dda971d | cotizacion_326092.r00 |
Asunto Email | info@tadbirenergy. com | Correo de salida |
Dominio | mail. olne. gr | Dominio |
MITRE ATT&CK | T1005 | Datos del sistema local |
MITRE ATT&CK | T1012 | Petición de los registros |
MITRE ATT&CK | T1082 | Descubrimiento de la información del sistema |
MITRE ATT&CK | T1497 | Evasión de la virtualización |
MITRE ATT&CK | T1552. 001 | Credenciales en archivos |
MITRE ATT&CK | T1552. 002 | Credenciales en el registro |
MITRE ATT&CK | T1566. 002 | Mediante Phishing |
MITRE ATT&CK | T1571 | Puerto no estándar |
MITRE ATT&CK | T1574. 002 | Carga lateral de DLL |