Solicitud fraudulenta de datos bancarios - Suplantación con malware
CMV24-00464Desde el CSIRT de Gobierno alertamos del descubrimiento de una nueva campaña de difusión de malware a través de email (malspam).
En un correo electrónico fraudulento, los delincuentes adjuntan un archivo malicioso disfrazado de supuestos datos bancarios. Si la víctima ejecuta este archivo adjunto, comienza un proceso de infección con el malware conocido como Agent Tesla.
Agent Tesla es un malware que sustrae información confidencial y la envía a los atacantes. Para realizarlo, busca credenciales que se almacenan en diferentes programas como navegadores, clientes de correos electrónicos, clientes FTP/SCP, bases de datos, herramientas de administración remota, aplicaciones VPN y de mensajería instantánea.
Asimismo, este malware es capaz de robar datos del portapapeles, grabar las pulsaciones del teclado y realizar capturas de pantalla.
Agent Tesla envía a los atacantes toda la información sustraída por medio de correo electrónico, Telegram, Discord o subiéndolos a un sitio web o un servidor de FTP.
Indicadores de Compromiso
| Tipo | Valor | Comentario |
|---|---|---|
| IPv4 | 107. 175. 218. 205 | IP SMTP |
| IP:Puerto | 46. 4. 90. 205: 49496 | Comando y control |
| SHA256 | 977131718295bb0d52814d2d30da09646abbbc32ced7a0a215000b59678e3195 | datos bancarios_9786746457687989856784874563456.exe |
| SHA256 | 9e87201967f5b16c669301ad815198837b8a9e7b50b9e9226e49f72fd2717363 | datos bancarios_9786746457687989856784874563456.arj |
| Asunto Email | datos bancarios | Asunto del correo |
| Dominio | ip-api. com | Whois |
| laracena@synergygroup. com. do | Correo de salida | |
| MITRE ATT&CK | T1012 | Consulta del Registro |
| MITRE ATT&CK | T1016 | Detección de la configuración de red del sistema |
| MITRE ATT&CK | T1071. 002 | Protocolos de transferencia de archivos |
| MITRE ATT&CK | T1082 | Descubrimiento de información del sistema |
| MITRE ATT&CK | T1114. 001 | Recogida local de correo electrónico |
| MITRE ATT&CK | T1204. 002 | Archivo malicioso |
| MITRE ATT&CK | T1518 | Descubrimiento de software |
| MITRE ATT&CK | T1552. 001 | Credenciales en archivos |
| MITRE ATT&CK | T1555. 003 | Credenciales de navegadores web |
| MITRE ATT&CK | T1562. 002 | Desactivar el registro de eventos de Windows |
| MITRE ATT&CK | T1566. 002 | Mediante Phishing |
| MITRE ATT&CK | T1571 | Puerto no estándar |
Evidencias
