DHL - Suplantación con malware
CMV24-00466Desde el CSIRT de Gobierno alertamos del descubrimiento de una nueva campaña de difusión de malware a través de email (malspam).
Delincuentes adjuntan a un correo electrónico fraudulento un archivo malicioso, disfrazado como un supuesto documento de envío. Si la víctima ejecuta este archivo adjunto, comienza un proceso de infección con el malware conocido como Agent Tesla.
Agent Tesla es un malware que sustrae información confidencial y la envía a los delincuentes. Para realizarlo, busca credenciales de autenticación que se almacenan en programas como navegadores, clientes de correos electrónicos, clientes FTP/SCP, bases de datos, herramientas de administración remota, aplicaciones VPN y de mensajería instantánea.
Asimismo, este malware es capaz de robar datos del portapapeles, grabar las pulsaciones del teclado y realizar capturas de pantalla.
Agent Tesla envía a los atacantes toda la información sustraída por medio de correo electrónico, Telegram, Discord o subiéndolos a un sitio web o un servidor de FTP.
Indicadores de Compromiso
| Tipo | Valor | Comentario |
|---|---|---|
| IPv4 | 185. 25. 20. 203 | IP SMTP |
| IPv4 | 190. 210. 9. 91 | IP SMTP |
| SHA256 | 739aa9e81a4963bce4521386fed3e464f0573125dc503249ab0d60000346d28f | DHL 467782000.exe |
| IPv4 | 79. 101. 35. 170 | IP SMTP |
| IP:Puerto | 92. 222. 236. 187: 587 | Comando y control |
| asist-compras1@cartorama. com. ec | Correo de salida | |
| barbara. kosi@colby. si | Correo de salida | |
| SHA256 | ea07a13d0955fc66206df074a3beb333201e126389c224a045f9932a2b87d2ce | DHL 467782000.rar |
| Asunto Email | Entrega urgente por DHL | Asunto correo |
| Dominio | mail. avasanat. com | Comando y control |
| marusa. podgorsek@comark. si | Correo de salida | |
| MITRE ATT&CK | T1005 | Datos del sistema local |
| MITRE ATT&CK | T1071. 002 | Protocolos de transferencia de archivos |
| MITRE ATT&CK | T1082 | Descubrimiento de información del sistema |
| MITRE ATT&CK | T1204. 002 | Archivo malicioso |
| MITRE ATT&CK | T1552 | Credenciales no garantizadas |
| MITRE ATT&CK | T1552. 001 | Credenciales en archivos |
| MITRE ATT&CK | T1552. 002 | Credenciales en el Registro |
| MITRE ATT&CK | T1566. 002 | Mediante Phishing |
Evidencias
