Falsa demanda - Suplantación con malware
CMV24-00474Desde el CSIRT de Gobierno alertamos del descubrimiento de una nueva campaña de difusión de malware a través de email (malspam).
En el correo se menciona una falsa demanda. Esta la campaña de este malware ha sido bautizada como "spacolombia2707".
Si la víctima interactúa con el archivo adjunto se encuentra con un malware de tipo remcos (por “control remoto y vigilancia” en inglés), que da al atacante el control total del sistema.
El malware se puede entregar en diferentes etapas e incorpora varias tácticas de ofuscación y anti-debugging para evitar ser detectado. Algunos de sus servicios adicionales incluyen keylogging, mass-mailer y servicios dynDNS.
Indicadores de Compromiso
| Tipo | Valor | Comentario |
|---|---|---|
| IPv4 | 178. 237. 33. 50 | Whois |
| IPv4 | 209. 85. 220. 41 | IP SMTP |
| SHA256 | 35d386e662508b9089b14ddf8ceebfb968baffd37f5e9a771da80a40f0bb5b75 | OFC JUZGADO DEMANDA EN SU CONTRA NOTIFICADO EN EL DIA DE HOY EJECUCIÓN DE PENAS Y MEDIDAS DE SEGURIDAD.REV |
| SHA256 | 7f2314486508bd17e8451dde525cdae8d7bc95e1ed257b86166a3d719da64993 | OFC JUZGADO DEMANDA EN SU CONTRA NOTIFICADO EN EL DIA DE HOY EJECUCIÓN DE PENAS Y MEDIDAS DE SEGURIDAD.exe |
| SHA256 | 7f2314486508bd17e8451dde525cdae8d7bc95e1ed257b86166a3d719da64993 | Txgifodwg.exe |
| IP:Puerto | 86. 104. 72. 183: 2707 | Comando y control |
| Dominio | areaseguras. con-ip. com | Dominio |
| claudio. vilches@dvc. cl | Correo de salida | |
| SHA256 | f8e5f8701d18770cb47c24c4a33e32ebdd5b482b887cb9af000e1b3f18f3d844 | logs.dat |
| URL | https: //drive. google. com/uc?id=1o6EW3hpMlYMx4MY1oHkDwpwSU8e_tiXX&export=download&authuser=0 | URL redirección |
| URL | https: //drive. usercontent. google. com/download?id=1o6EW3hpMlYMx4MY1oHkDwpwSU8e_tiXX&export=download | URL descarga fichero |
| Asunto Email | OFC JUZGADO DEMANDA EN SU CONTRA NOTIFICADO EN EL DIA DE HOY EJECUCIÓN DE PENAS Y MEDIDAS DE SEGURIDAD | Asunto del correo |
| Dominio | spacolombia2707 | Botnet |
| MITRE ATT&CK | T1016 | Detección de la configuración de red del sistema |
| MITRE ATT&CK | T1112 | Modificación del registro |
| MITRE ATT&CK | T1547 | Ejecución de arranque o inicio automático de sesión |
| MITRE ATT&CK | T1547. 001 | Claves de ejecución del registro / Carpeta de inicio |
| MITRE ATT&CK | T1566. 002 | Acceso Inicial (Mediante Phishing) |
| MITRE ATT&CK | T1571 | Puerto no estandar |
Evidencias
Evidencia 1: