Conaset - Suplantación con malware
CMV24-00469Desde el CSIRT de Gobierno alertamos del descubrimiento de una nueva campaña de difusión de malware a través de email (malspam).
En esta ocasión, se trata de una campaña de phishing con malware, distribuido a través de un email que se hace pasar como proveniente del Conaset.
El correo electrónico de phishing alude a supuestas multas de tránsito para motivar a que la víctima haga clic en un enlace malicioso.
Si la víctima hace clic descarga un archivo malicioso que contiene a Mekotio, un troyano bancario.
Indicadores de Compromiso
| Tipo | Valor | Comentario |
|---|---|---|
| IPv4 | 103. 179. 191. 151 | IP SMTP |
| IP:Puerto | 104. 200. 19. 193: 8900 | Whois |
| IP:Puerto | 104. 200. 19. 193: 8900 | Comando y control |
| IPv4 | 116. 203. 200. 128 | IP SMTP |
| IPv4 | 159. 89. 176. 161 | IP SMTP |
| IPv4 | 178. 63. 76. 15 | IP SMTP |
| SHA256 | 52cc08bd5f2d6bcfc37476a4d72d228ef5383e6dd8193e4acd22e2cb3f3a5240 | infrapendienteconainforma.zip |
| SHA256 | 61cd115cc58201f78da7588daf4ec9f1969ae9731df818d28663a4184c0aef98 | infrapendienteconainforma.msi |
| IPv4 | 77. 68. 93. 26 | IP SMTP |
| IPv4 | 88. 99. 253. 159 | IP SMTP |
| IPv4 | 95. 168. 184. 116 | IP SMTP |
| Asunto Email | Infracción pendiente de pago de su vehículo. 0196912077900 | Asunto del correo |
| Asunto Email | Infracción pendiente de pago de su vehículo. 023629333530216522168890 | Asunto del correo |
| Asunto Email | Infracción pendiente de pago de su vehículo. 10839002843749 | Asunto del correo |
| Asunto Email | Infracción pendiente de pago de su vehículo. 17594609842983980 | Asunto del correo |
| Asunto Email | Infracción pendiente de pago de su vehículo. 27235843965720747716 | Asunto del correo |
| Asunto Email | Infracción pendiente de pago de su vehículo. 56112628022574010 | Asunto del correo |
| Asunto Email | Infracción pendiente de pago de su vehículo. 8263486484190 | Asunto del correo |
| Asunto Email | Infracción pendiente de pago de su vehículo. 872166417920147485 | Asunto del correo |
| support@dailyxetai. vn | Correo de salida | |
| support@demo. noonwp. com | Correo de salida | |
| support@menus. casalimonerestaurant. com | Correo de salida | |
| support@paweddings. co. uk | Correo de salida | |
| support@recruitment-mar. itea. academy | Correo de salida | |
| support@smoke-one. de | Correo de salida | |
| support@zweirad-zimmermann. com | Correo de salida | |
| MITRE ATT&CK | T1012 | Consulta del Registro |
| MITRE ATT&CK | T1082 | Descubrimiento de información del sistema |
| MITRE ATT&CK | T1120 | Descubrimiento de dispositivos periféricos |
| MITRE ATT&CK | T1546 | Ejecución activada por eventos |
| MITRE ATT&CK | T1546. 016 | Paquetes de instalación |
| MITRE ATT&CK | T1566. 002 | Acceso Inicial (Mediante Phishing) |
Evidencias
Evidencia 1: