DHL - Suplantación con malware
CMV24-00461Desde la Agencia Nacional de Ciberseguridad (ANCI) alertamos del descubrimiento de una nueva campaña de difusión de malware.
Agent Tesla es un malware que sustrae información confidencial y la envía a los atacantes. Para realizarlo, busca las credenciales que se almacenan en diferentes programas como navegadores, clientes de correos electrónicos, clientes FTP/SCP, bases de datos, herramientas de administración remota, aplicaciones VPN y de mensajería instantánea. Asimismo, este malware es capaz de robar datos del portapapeles, grabar las pulsaciones del teclado (keylogger) y realizar capturas de pantalla.
Agent Tesla envía toda la información sustraída a los atacantes por medio de correo electrónico, Telegram, Discord, subiéndolos a un sitio web o un servidor de FTP.
Indicadores de Compromiso
| Tipo | Valor | Comentario |
|---|---|---|
| IPv4 | 190. 5. 88. 142 | IP SMTP |
| SHA256 | 37ac69abe12f3ec977df53efd9e10a1c2f40eba5fab217cbce4e0fb5452c669f | DHL_734825514200.exe |
| SHA256 | 96ad1146eb96877eab5942ae0736b82d8b5e2039a80d3d6932665c1a4c87dcf7 | __PSScriptPolicyTest_m3o1eor2.raw.ps1 |
| SHA256 | d9b1d72dec9430f7bddc386ee8a621a9138f59cb921ee725fc592725d29785ac | DHL_734825514200.rar |
| mensaje@lovablehn. com | Correo de salida | |
| MITRE ATT&CK | T1005 | Datos del sistema local |
| MITRE ATT&CK | T1012 | Consulta del Registro |
| MITRE ATT&CK | T1059. 001 | Intérprete de comandos y scripts: PowerShell |
| MITRE ATT&CK | T1071. 001 | Protocolos web |
| MITRE ATT&CK | T1082 | Descubrimiento de información del sistema |
| MITRE ATT&CK | T1552. 001 | Credenciales en Archivos |
| MITRE ATT&CK | T1552. 002 | Credenciales del Registro |
| MITRE ATT&CK | T1555. 003 | Credenciales desde navegadores web |
| MITRE ATT&CK | T1566. 002 | Mediante Phishing |
Evidencias
