Conaset - Suplantación con malware
CMV24-00469Desde la Agencia Nacional de Ciberseguridad (ANCI) alertamos del descubrimiento de una nueva campaña de difusión de malware.
En esta ocasión, se trata de una campaña de phishing con malware, distribuido a través de un email que se hace pasar como proveniente del Conaset.
El correo electrónico de phishing alude a supuestas multas de tránsito para motivar a que la víctima haga clic en un enlace malicioso.
Si la víctima hace clic descarga un archivo malicioso que contiene a Mekotio, un troyano bancario.
Indicadores de Compromiso
| Tipo | Valor | Comentario |
|---|---|---|
| IPv4 | 103. 179. 191. 151 | IP SMTP |
| IP:Puerto | 104. 200. 19. 193: 8900 | Whois |
| IP:Puerto | 104. 200. 19. 193: 8900 | Comando y control |
| IPv4 | 116. 203. 200. 128 | IP SMTP |
| IPv4 | 159. 89. 176. 161 | IP SMTP |
| IPv4 | 178. 63. 76. 15 | IP SMTP |
| SHA256 | 52cc08bd5f2d6bcfc37476a4d72d228ef5383e6dd8193e4acd22e2cb3f3a5240 | infrapendienteconainforma.zip |
| SHA256 | 61cd115cc58201f78da7588daf4ec9f1969ae9731df818d28663a4184c0aef98 | infrapendienteconainforma.msi |
| IPv4 | 77. 68. 93. 26 | IP SMTP |
| IPv4 | 88. 99. 253. 159 | IP SMTP |
| IPv4 | 95. 168. 184. 116 | IP SMTP |
| Asunto Email | Infracción pendiente de pago de su vehículo. 0196912077900 | Asunto del correo |
| Asunto Email | Infracción pendiente de pago de su vehículo. 023629333530216522168890 | Asunto del correo |
| Asunto Email | Infracción pendiente de pago de su vehículo. 10839002843749 | Asunto del correo |
| Asunto Email | Infracción pendiente de pago de su vehículo. 17594609842983980 | Asunto del correo |
| Asunto Email | Infracción pendiente de pago de su vehículo. 27235843965720747716 | Asunto del correo |
| Asunto Email | Infracción pendiente de pago de su vehículo. 56112628022574010 | Asunto del correo |
| Asunto Email | Infracción pendiente de pago de su vehículo. 8263486484190 | Asunto del correo |
| Asunto Email | Infracción pendiente de pago de su vehículo. 872166417920147485 | Asunto del correo |
| support@dailyxetai. vn | Correo de salida | |
| support@demo. noonwp. com | Correo de salida | |
| support@menus. casalimonerestaurant. com | Correo de salida | |
| support@paweddings. co. uk | Correo de salida | |
| support@recruitment-mar. itea. academy | Correo de salida | |
| support@smoke-one. de | Correo de salida | |
| support@zweirad-zimmermann. com | Correo de salida | |
| MITRE ATT&CK | T1012 | Consulta del Registro |
| MITRE ATT&CK | T1082 | Descubrimiento de información del sistema |
| MITRE ATT&CK | T1120 | Descubrimiento de dispositivos periféricos |
| MITRE ATT&CK | T1546 | Ejecución activada por eventos |
| MITRE ATT&CK | T1546. 016 | Paquetes de instalación |
| MITRE ATT&CK | T1566. 002 | Acceso Inicial (Mediante Phishing) |
Evidencias
Evidencia 1: