Servicio de Administración Tributaria (México) - Suplantación con malware
CMV24-00457Desde el CSIRT de Gobierno alertamos del descubrimiento de una nueva campaña de difusión de malware a través de email (malspam).
Esta campaña suplanta al Servicio de Administración Tributaria de México, alertando de un falso retraso en unos pagos. De interactuar con el archivo enlazado en el email, la víctima se encuentra con un programa malicioso conocido como Grandoeiro.
Este troyano bancario, dirigido a los países de Latinoamérica, es usado como puerta trasera para permitir al atacante acceder a los dispositivos de la víctima y así robar su información personal y bancaria.
Este malware posee una técnica de CAPTCHA, en particular, requiere la realización manual de la prueba de desafío-respuesta para ejecutar el malware en la maquina comprometida. El implante no se ejecuta al menos que la víctima resuelva este CAPTCHA.
Indicadores de Compromiso
| Tipo | Valor | Comentario |
|---|---|---|
| IP:Puerto | 15. 228. 166. 44: 4917 | Comando y control |
| IP:Puerto | 15. 228. 166. 44: 50673/ModemSnaptfbAAppCrafters. xml | Payload |
| SHA256 | 1ec5aec6e629d8a9c3bf75e3c425bef10c25e1557283029745c434c7c9ee6389 | 6284DedallesDDUK7071FC-5355QDEH Emisor6051 Ref-ZILJ2286.exe |
| SHA256 | 67059e589ebd10e14640ccbe0c166a72eaef131697fe9ac63237609a23048b67 | AudioXpertXgrvModemMagic.exe |
| SHA256 | eeb1f2843f4e17352a324385145e58dfa6c843b74e5384fff643bc48be50faa2 | 7057CFDI_SAT6697NQCF.zip |
| SHA256 | f2d850025dd7b65c44d979ec74a3f5a77e1c15b4070812be5656887cee95dc59 | _________________________________________________510444299203.xml |
| URL | https: //pjohconstruccionescpaz. com/?8205-23069071&tokenValue=92b768ccface4e96cee662517800b208f88ff796 | Descarga del Fichero |
| URL | https: //uc33c855fe0b796d9b057399e710. dl. dropboxusercontent. com/cd/0/get/CQtKInASZ8XRqaQlWUmjguBq_hp2vsVA8zimuD-tsYXTGb_xMLo5W9Log6cozAZBz0uCZ0w_syv518kOKOXh-GIkY7BlMxdfgm4rWRRfDmhENWG1rECDYkRt8LpDvwQGIrH6XgXEyVzzyTGsLx-3FucR/file?dl=1# | Comprobación de la descarga |
| URL | https: //www. dropbox. com/scl/fi/dzsshpkfmu4ekkpo6t081/5839CFDI_SAT2511SORR. zip?rlkey=uurswnjggmrnsrwcb8o3e777n&dl=1 | Contenedor del malware |
| MITRE ATT&CK | T1012 | Consulta del Registro |
| MITRE ATT&CK | T1016 | Detección de la configuración de red del sistema |
| MITRE ATT&CK | T1059. 001 | PowerShell |
| MITRE ATT&CK | T1082 | Descubrimiento de información del sistema |
| MITRE ATT&CK | T1204. 002 | Archivo malicioso |
| MITRE ATT&CK | T1518 | Descubrimiento de programas |
| MITRE ATT&CK | T1552. 001 | Credenciales en archivos |
| MITRE ATT&CK | T1566. 002 | Mediante Phishing |
| MITRE ATT&CK | T1571 | Puerto no estándar |
Evidencias
