SII y TGR - Suplantación con malware
CMV24-00471Desde el CSIRT de Gobierno alertamos del descubrimiento de una nueva campaña de difusión de malware a través de email (malspam).
En esta ocasión, se trata de una campaña que suplanta al Servicio de Impuestos Internos (SII) y a la Tesorería General de la República a través de un correo electrónico, el que alega un falsa "liquidación tributaria" que se encontraría impaga.
Indicadores de Compromiso
| Tipo | Valor | Comentario |
|---|---|---|
| IPv4 | 163. 44. 202. 248 | IP SMTP |
| SHA256 | 50856cfeaad9ccd338b17055bb6ded52d16a74ff2bf8c2318283eaf335a89abd | Citacion_27062024082296352573901.zip |
| SHA256 | 521c332292c374a6a60a18330e0d0aa87ac16e78898abf676579519675e45475 | /\t/PvCN84/ BETSIAOS63RXZ9VI7D4OT16 |
| IPv4 | 65. 38. 120. 88 | IP dominio |
| SHA256 | ae804b3dc19c13ed75a377cd5c823d75f9ad75abedb6797683be4586878d34b9 | Citacion_27062024082296352573901.hta |
| URL | https: //252. 22. 168. 184. host. secureserver. net/2706202408268537591273901/Citacion_27062024082296352573901. zip | URL descarga |
| URL | https: //252. 22. 168. 184. host. secureserver. net/index. php | URL redirección |
| Asunto Email | Imposto detectado pelo SII. | Asunto correo |
| root@sincroniatrimestraljunhocliente0624bn9xe3k95mi. lldscreenspace. com. br | Correo de salida | |
| Dominio | ujshanmsupreme. ddns. net | Dominio malicioso |
Evidencias
Evidencia 1: