Conaset - Suplantación con malware
CMV24-00467Desde el CSIRT de Gobierno alertamos del descubrimiento de una nueva campaña de difusión de malware a través de email (malspam).
![Preview CMV24-00467](https://media.ciberseguridad.gob.cl/images/CMV24-00467.2e16d0ba.format-jpeg.fill-1200x600.jpg)
En esta ocasión, se trata de una campaña de phishing con malware, distribuido a través de un email que se hace pasar como proveniente del Conaset.
El correo electrónico alude a supuestas multas de tránsito para provocar que la víctima haga clic en un enlace malicioso.
Si la víctima hace clic, descarga el archivo enlazado e interactúa con el fichero malicioso se encuentra con Mekotio, un troyano bancario dirigido principalmente a naciones de Iberoamérica (con distintas campañas que apuntan a diferentes países, como la actual, preparada para Chile) y que destaca por el uso de comandos de base de datos SQL para obtener información del sistema infectado y enviarlo a un servidor de comando y control.
Indicadores de Compromiso
Tipo | Valor | Comentario |
---|---|---|
IPv4 | 144. 76. 61. 60 | IP SMTP |
IPv4 | 173. 230. 158. 111 | IP SMTP |
IPv4 | 193. 92. 45. 18 | IP SMTP |
SHA256 | 4056594c8eb4b9050a1fe51ac9c6aa17c43b14d9546e4467e0aac311ee3d4063 | infonuevainfraccionetransito.msi |
SHA256 | 440b50492f1b457e756a8921aaecb60699105b986e6200b07910d94bda30020d | MSI506C.tmp |
IP:Puerto | 45. 79. 100. 237: 8900 | Comando y control |
IPv4 | 77. 94. 250. 183 | IP SMTP |
IPv4 | 77. 94. 250. 191 | IP SMTP |
IPv4 | 82. 223. 18. 138 | IP SMTP |
SHA256 | 8cea66c4bd7b03666a88e80791edb015df847381702a356eae0c2f8b6dd08e71 | MSI4BC3.tmp |
SHA256 | 9d25bfbd1d270168a3c3fe1f760cd0e8f40e3245b043ce3c4d09186126adaa50 | infonuevainfraccionetransito.zip |
SHA256 | ca763693cc25d316f14a9ebad80ebf00590329550c45adb7e5205486533c2504 | MSI498C.tmp |
SHA256 | e41d6b9d64b3f94b7a07c4d2b149124145ac49deda40ff0f34f42c84ce4ec8b0 | e574941.rbs |
URL | https: //gdp-arq. cl/alianca/infonuevainfraccionetransito. zip?929984274 | URL de descarga |
URL | https: //jkpgb2007. gov. mk/info/infraccionetransito/descarga/?hash={Correo electronico} | URL redirección |
Asunto Email | Informe Infracciones 6326521624377095273118 | Asunto del correo |
support@clinicaskyra. com | Correo de salida | |
MITRE ATT&CK | T1012 | Consulta del Registro |
MITRE ATT&CK | T1082 | Descubrimiento de información del sistema |
MITRE ATT&CK | T1120 | Descubrimiento de dispositivos periféricos |
MITRE ATT&CK | T1566. 002 | Acceso Inicial (Mediante Phishing) |