Conaset - Suplantación con malware
CMV24-00472Desde el CSIRT de Gobierno alertamos del descubrimiento de una nueva campaña de difusión de malware a través de email (malspam).
En esta ocasión, se trata de una campaña de phishing con malware, distribuido a través de un email que se hace pasar por proveniente del Conaset.
El correo electrónico de phishing alude a supuestas multas de tránsito para convencer a la víctima de hacer clic en un enlace malicioso.
Si la víctima hace clic, descarga un archivo malicioso que contiene a Mekotio, un troyano bancario.
Indicadores de Compromiso
| Tipo | Valor | Comentario |
|---|---|---|
| IPv4 | 146. 155. 99. 132 | IP SMTP |
| SHA256 | 260d537b1c659a4bb4a7de536e916df87ac165ca98583b28d51e19fa142355cb | facturdeuda11.21_afip.on-line.pdf.xml.msi_11158.zip |
| IP:Puerto | 34. 117. 186. 192: 443 | Whois |
| IP:Puerto | 68. 233. 238. 122: 9091 | Comando y control |
| SHA256 | 83ece90081040f5f227204d23113f02bba9b2f01963678cb053a076fe7d49006 | facturdeuda11.21_afip.on-line.pdf.xml.msi_facturdeuda11.21_afip.on-line.pdf.xml.msi_11158.msi |
| root@facelec58. google-searcher. com | Correo de salida | |
| MITRE ATT&CK | T1012 | Registro de consultas |
| MITRE ATT&CK | T1082 | Descubrimiento de información del sistema |
| MITRE ATT&CK | T1120 | Descubrimiento de dispositivos periféricos |
| MITRE ATT&CK | T1546. 016 | Paquetes de instalación |
| MITRE ATT&CK | T1566. 002 | Acceso Inicial (Mediante Phishing) |
Evidencias
Evidencia 1: