Servicio de Impuestos Internos - Suplantación con malware
CMV24-00463Desde el CSIRT de Gobierno alertamos del descubrimiento de una nueva campaña de difusión de malware a través de email (malspam).
En esta ocasión, se trata de una campaña que suplanta al Servicio de Impuestos Internos (SII) a través de un correo electrónico que alega un falso problema en la emisión de boletas electrónicas.
El email fraudulento incluye una URL de descarga que descarga una carpeta maliciosa.
Si la víctima interactúa con el fichero malicioso se encuentra con Mekotio, un troyano bancario dirigido principalmente a naciones de Iberoamérica y que destaca por el uso de comandos de base de datos SQL para obtener información del sistema infectado y enviarlo a su servidor de comando y control.
Indicadores de Compromiso
| Tipo | Valor | Comentario |
|---|---|---|
| IPv4 | 148. 66. 147. 215 | IP SMTP |
| SHA256 | 7e643c188a1ee3b0251b7dfcab000b7c48fd840eff35189e8a45901852e3910a | ssleay32.dll |
| SHA256 | d12f56009bcdf27276235380343948f1f909cf17c1490c5c91ec2c2a8cffc699 | Informe-Detallado.msi |
| SHA256 | e28e34fbdaff077669586dcdb4e10f0ba2ca6c9973ed4d372a5c3ec3b8ad20e7 | libeay32.dll |
| SHA256 | e87329c39e9647d1f4bd64400a2988f9c83b3547845c998ae6bfbcb361d6240c | Informe-21-2024.zip |
| URL | https: //52zd. com/profile/analytic/Informe-21-2024. zip?template=78feac07dd640e34eabe45835f4d7936=Initiate&valid=true&session=dd78feac07dd640e34eabe45835f4d7936 | URL contenedora del malware |
| URL | https: //pexinxaria. com. br/well-mail/images/index. php?hash=54459262-{Correo electronico}-Servicio%20de%20Impuestos%20Internos%20|%20SII | URL sitio falso |
| URL | https: //portalriosul. com. br/blog/zip/?ID-F721UD$62*/AVvXsEgBkvx3R9Lv-AQQkADAwATNiZmYAZC02YmM2LTliNWQtMDACLTAwCgAQABxGo%2FDnrtRNjrCWJcwtyB4%3DFMfcgzGxStnFcQZxBTWTJrqjnPLzpZst | URL redirección |
| Informe-N40351073@sii-mail. cl | Correo de salida | |
| MITRE ATT&CK | T1012 | Consulta del Registro |
| MITRE ATT&CK | T1082 | Descubrimiento de información del sistema |
| MITRE ATT&CK | T1120 | Descubrimiento de dispositivos periféricos |
| MITRE ATT&CK | T1566. 002 | Mediante Phishing |
| MITRE ATT&CK | T1571 | Puerto no estándar |
Evidencias
Evidencia 1: