Falsa factura impaga - Suplantación con malware
CMV24-00468Desde el CSIRT de Gobierno alertamos del descubrimiento de una nueva campaña de difusión de malware a través de email (malspam).
En esta ocasión, se trata de una campaña de phishing con malware, distribuido a través de un email que se hace pasar como una factura impaga.
El correo electrónico alude a una supuesta factura impaga para provocar que la víctima haga clic en un enlace malicioso.
Si la víctima hace clic, descarga el archivo enlazado e interactúa con el fichero malicioso se encuentra con Mekotio, un troyano bancario dirigido principalmente a naciones de Iberoamérica (con distintas campañas que apuntan a diferentes países, como la actual, preparada para Chile) y que destaca por el uso de comandos de base de datos SQL para obtener información del sistema infectado y enviarlo a un servidor de comando y control.
Indicadores de Compromiso
| Tipo | Valor | Comentario |
|---|---|---|
| IPv4 | 103. 179. 191. 151 | IP SMTP |
| IPv4 | 116. 203. 200. 128 | IP SMTP |
| IPv4 | 138. 201. 59. 106 | IP SMTP |
| IPv4 | 149. 88. 90. 3 | IP SMTP |
| IPv4 | 162. 19. 171. 108 | IP SMTP |
| IPv4 | 195. 56. 241. 8 | IP SMTP |
| IPv4 | 34. 117. 186. 192 | Whois |
| SHA256 | 36a9e7f1c95b82ffb99743e0c5c4ce95d83c9a430aac59f84ef3cbfab6145068 | b.txt |
| IPv4 | 38. 54. 108. 15 | IP SMTP |
| SHA256 | 48c4eb69604e1551bab0fcad10c4a7056b2cf6342f6a244527967ea431490893 | 5df9b0.rbs |
| IPv4 | 50. 116. 35. 185 | Comando y control |
| SHA256 | 53a61793cb027c051a7acc8e2f53adaa717fb273dd461f7a4f8094971faadf20 | json[1].json |
| SHA256 | 5d2bcd4a1d967d54b3d1b304d16e7c74204ca383a63eedfed20da24b18aec17f | facturafechadamayo.msi |
| SHA256 | 7e3f309fc3a238119ee9e5f7b7a149a2125cbf327b60deef9c5cc82f7547191a | facturafechadamayo.zip |
| SHA256 | 7e643c188a1ee3b0251b7dfcab000b7c48fd840eff35189e8a45901852e3910a | ssleay32.dll |
| SHA256 | cc684e8981b8b0089b157abbabacfe4c6fadef15624ef53ebb7108b76b524d86 | 5df9af.rbs |
| SHA256 | e28e34fbdaff077669586dcdb4e10f0ba2ca6c9973ed4d372a5c3ec3b8ad20e7 | libeay32.dll |
| Asunto Email | Factura Mayo 2024. FACTURA 39200 - $450. 900 | Asunto correo |
| support@anteni. info | Correo de salida | |
| support@ciottociotto. it | Correo de salida | |
| support@dailyxetai. vn | Correo de salida | |
| support@dybi. hu | Correo de salida | |
| support@xiaoguoeducation. com | Correo de salida | |
| support@zweirad-zimmermann. com | Correo de salida |
Evidencias
