Falsa audiencia judicial - Suplantación con malware
CMV24-00475Desde el CSIRT de Gobierno alertamos del descubrimiento de una nueva campaña de difusión de malware a través de email (malspam).
Se trata, en este caso, de nueva campaña de emails maliciosos en cuyo mensaje se alerta de una falsa asistencia a una audiencia. Se enlaza un supuesto archivo relacionado con esta audiencia.
De hacer clic en el link malicioso, la víctima descarga el programa malicioso conocido como Grandoreiro.
Grandoreiro es un troyano bancario dirigido a los países de Latinoamérica, usado como puerta trasera para permitir al atacante acceder a los dispositivos de la víctima y así robar su información personal y bancaria.
Este malware requiere la realización manual de un captcha para ejecutar el malware en la maquina comprometida. El implante no se ejecuta al menos que la víctima resuelva este captcha.
Indicadores de Compromiso
| Tipo | Valor | Comentario |
|---|---|---|
| IPv4 | 135. 125. 235. 248 | IP SMTP |
| SHA256 | 29a4d646d2f201acf9f5918043b2abb81667f6d5c34e3815c9aad2e7b89c81e2 | BCMODedallesHQEKSDOPBUYMENDOCqbmr.exe |
| SHA256 | a16504f6477fb539363875d48a1625377eeb51b5cf5b41937152ebda2a0f6184 | ADOBEpynb#ENDOC#SXVNEKNSUUTJ.zip |
| Asunto Email | Documentacion adjuntos | Asunto correo |
| SHA256 | f2d850025dd7b65c44d979ec74a3f5a77e1c15b4070812be5656887cee95dc59 | _____________________________________________________EDRRNVIXZZHDHLLV.xml |
| URL | https: //86. 245. 72. 148. host. secureserver. net/archivos?servicio?security/portal/SECURITY_KASPERSKY_NAVIGATOR?Portal=543891312-jsessionid=000shskGrMo_ix2izyg | URL redirección |
| URL | https: //uc21165dfb2824ac95dc507546e7. dl. dropboxusercontent. com/cd/0/get/CWF5r7UDXh00ZgujGyWWz6OQcGifDCdZxIKcAUQa9vx8SdJ2iyMFEfw98VbbIMgofzJF9Nf9Q2-bYq3tFunDah5H4B-Gyw5Lo7bC67sSIWrbQ6m3r_YWroALfu_eLHqyik384i-w8r-sV8s9imLXyDjK/file?dl=1# | URL comprobación |
| URL | https: //www. dropbox. com/scl/fi/i6owss9y95bt9iph8dpo5/ADOBEpynb-ENDOC-SXVNEKNSUUTJ. zip?rlkey=tvsprcz66xmmmr7sg3e09nc33&st=72qh32xz&dl=1 | URL contenedora |
| root@vps-69c76261. vps. ovh. net | Correo de salida | |
| MITRE ATT&CK | T1012 | Registro de consultas |
| MITRE ATT&CK | T1082 | Descubrimiento de información del sistema |
| MITRE ATT&CK | T1204. 002 | Archivo malicioso |
| MITRE ATT&CK | T1566. 002 | Mediante phishing |
Evidencias
