Conaset - Suplantación con malware
CMV24-00465Desde el CSIRT de Gobierno alertamos del descubrimiento de una nueva campaña de difusión de malware a través de email (malspam).
![Preview CMV24-00465](https://media.ciberseguridad.gob.cl/images/CMV24-00465.2e16d0ba.format-jpeg.fill-1200x600.jpg)
En esta ocasión, se trata de una campaña de phishing con malware, distribuido a través de un email que se hace pasar como proveniente del Conaset.
El correo electrónico alude a supuestas multas de tránsito para provocar que la víctima haga clic en un enlace malicioso.
Si la víctima hace clic, descarga el archivo enlazado e interactúa con el fichero malicioso se encuentra con Mekotio, un troyano bancario dirigido principalmente a naciones de Iberoamérica (con distintas campañas que apuntan a diferentes países, como la actual, preparada para Chile) y que destaca por el uso de comandos de base de datos SQL para obtener información del sistema infectado y enviarlo a un servidor de comando y control.
Indicadores de Compromiso
Tipo | Valor | Comentario |
---|---|---|
IP:Puerto | 15. 235. 146. 49: 50334 | IP SMTP |
IP:Puerto | 172. 105. 195. 169: 9091 | Comando y control |
IP:Puerto | 34. 117. 186. 192: 443 | Whois |
SHA256 | 69917b3dc70ffe5c6bfabff6ac0938c3ab2402826d0298bca26c1d72f698c22d | notificainfraccioncona.zip |
SHA256 | 7e643c188a1ee3b0251b7dfcab000b7c48fd840eff35189e8a45901852e3910a | ssleay32.dll |
SHA256 | 91a3d5c44efe38c16b038480db835d34b7f3151cda18fd066a7ee4c2270bd280 | notificainfraccioncona.msi |
SHA256 | e28e34fbdaff077669586dcdb4e10f0ba2ca6c9973ed4d372a5c3ec3b8ad20e7 | libeay32.dll |
URL | https: //dadehkaav. com/conasenotifica/infraccionetransito/descarga/?hash={Correo electronico} | URL redirección |
URL | https: //ipinfo. io/json | Whois |
URL | https: //vinum-ci. org/csz/notificainfraccioncona. zip?956942956 | URL descarga |
support@tradeanalytics. vn | Correo de salida | |
MITRE ATT&CK | T1012 | Consulta del Registro |
MITRE ATT&CK | T1082 | Descubrimiento de información del sistema |
MITRE ATT&CK | T1120 | Descubrimiento de dispositivos periféricos |
MITRE ATT&CK | T1566. 002 | Acceso Inicial (Mediante Phishing) |