Servicio de Impuestos Internos - Suplantación con malware
CMV24-00463Desde el CSIRT de Gobierno alertamos del descubrimiento de una nueva campaña de difusión de malware a través de email (malspam).
En esta ocasión, se trata de una campaña que suplanta al Servicio de Impuestos Internos (SII) a través de un correo electrónico que alega un falso problema en la emisión de boletas electrónicas.
![Preview CMV24-00463](https://media.ciberseguridad.gob.cl/images/CMV24-00463.2e16d0ba.format-jpeg.fill-1200x600.jpg)
El email fraudulento incluye una URL de descarga que descarga una carpeta maliciosa.
Si la víctima interactúa con el fichero malicioso se encuentra con Mekotio, un troyano bancario dirigido principalmente a naciones de Iberoamérica y que destaca por el uso de comandos de base de datos SQL para obtener información del sistema infectado y enviarlo a su servidor de comando y control.
Indicadores de Compromiso
Tipo | Valor | Comentario |
---|---|---|
IPv4 | 148. 66. 147. 215 | IP SMTP |
SHA256 | 7e643c188a1ee3b0251b7dfcab000b7c48fd840eff35189e8a45901852e3910a | ssleay32.dll |
SHA256 | d12f56009bcdf27276235380343948f1f909cf17c1490c5c91ec2c2a8cffc699 | Informe-Detallado.msi |
SHA256 | e28e34fbdaff077669586dcdb4e10f0ba2ca6c9973ed4d372a5c3ec3b8ad20e7 | libeay32.dll |
SHA256 | e87329c39e9647d1f4bd64400a2988f9c83b3547845c998ae6bfbcb361d6240c | Informe-21-2024.zip |
URL | https: //52zd. com/profile/analytic/Informe-21-2024. zip?template=78feac07dd640e34eabe45835f4d7936=Initiate&valid=true&session=dd78feac07dd640e34eabe45835f4d7936 | URL contenedora del malware |
URL | https: //pexinxaria. com. br/well-mail/images/index. php?hash=54459262-{Correo electronico}-Servicio%20de%20Impuestos%20Internos%20|%20SII | URL sitio falso |
URL | https: //portalriosul. com. br/blog/zip/?ID-F721UD$62*/AVvXsEgBkvx3R9Lv-AQQkADAwATNiZmYAZC02YmM2LTliNWQtMDACLTAwCgAQABxGo%2FDnrtRNjrCWJcwtyB4%3DFMfcgzGxStnFcQZxBTWTJrqjnPLzpZst | URL redirección |
Informe-N40351073@sii-mail. cl | Correo de salida | |
MITRE ATT&CK | T1012 | Consulta del Registro |
MITRE ATT&CK | T1082 | Descubrimiento de información del sistema |
MITRE ATT&CK | T1120 | Descubrimiento de dispositivos periféricos |
MITRE ATT&CK | T1566. 002 | Mediante Phishing |
MITRE ATT&CK | T1571 | Puerto no estándar |