Conaset - Suplantación con malware
CMV24-00472Desde la Agencia Nacional de Ciberseguridad (ANCI) alertamos del descubrimiento de una nueva campaña de difusión de malware.
En esta ocasión, se trata de una campaña de phishing con malware, distribuido a través de un email que se hace pasar por proveniente del Conaset.
El correo electrónico de phishing alude a supuestas multas de tránsito para convencer a la víctima de hacer clic en un enlace malicioso.
Si la víctima hace clic, descarga un archivo malicioso que contiene a Mekotio, un troyano bancario.
Indicadores de Compromiso
Tipo | Valor | Comentario |
---|---|---|
IPv4 | 146. 155. 99. 132 | IP SMTP |
SHA256 | 260d537b1c659a4bb4a7de536e916df87ac165ca98583b28d51e19fa142355cb | facturdeuda11.21_afip.on-line.pdf.xml.msi_11158.zip |
IP:Puerto | 34. 117. 186. 192: 443 | Whois |
IP:Puerto | 68. 233. 238. 122: 9091 | Comando y control |
SHA256 | 83ece90081040f5f227204d23113f02bba9b2f01963678cb053a076fe7d49006 | facturdeuda11.21_afip.on-line.pdf.xml.msi_facturdeuda11.21_afip.on-line.pdf.xml.msi_11158.msi |
root@facelec58. google-searcher. com | Correo de salida | |
MITRE ATT&CK | T1012 | Registro de consultas |
MITRE ATT&CK | T1082 | Descubrimiento de información del sistema |
MITRE ATT&CK | T1120 | Descubrimiento de dispositivos periféricos |
MITRE ATT&CK | T1546. 016 | Paquetes de instalación |
MITRE ATT&CK | T1566. 002 | Acceso Inicial (Mediante Phishing) |