Servicio de Impuestos Internos - Suplantación con malware
CMV24-00476Desde el CSIRT de Gobierno alertamos del descubrimiento de una nueva campaña de difusión de malware a través de email (malspam).
![Preview CMV24-00476](https://media.ciberseguridad.gob.cl/images/CMV24-00476.2e16d0ba.format-jpeg.fill-1200x600.jpg)
En esta ocasión, se trata de una campaña de phishing con malware, distribuido a través de un email que se hace pasar como proveniente del Servicio de Impuestos Internos.
El correo electrónico alude a supuestas facturas impagas para provocar que la víctima haga clic en un enlace malicioso.
Si la víctima hace clic, descarga el archivo enlazado e interactúa con el fichero malicioso se encuentra con Mekotio, un troyano bancario dirigido principalmente a naciones de Iberoamérica (con distintas campañas que apuntan a diferentes países, como la actual, preparada para Chile) y que destaca por el uso de comandos de base de datos SQL para obtener información del sistema infectado y enviarla a un servidor de comando y control.
Indicadores de Compromiso
Tipo | Valor | Comentario |
---|---|---|
IPv4 | 103. 179. 191. 151 | IP SMTP |
IPv4 | 103. 4. 75. 66 | IP SMTP |
IPv4 | 148. 113. 165. 186 | IP SMTP |
IPv4 | 161. 132. 40. 128 | IP SMTP |
IPv4 | 167. 71. 237. 136 | IP SMTP |
IPv4 | 170. 246. 56. 213 | IP SMTP |
IPv4 | 173. 208. 191. 228 | IP SMTP |
IPv4 | 209. 85. 160. 49 | IP SMTP |
IP:Puerto | 212. 71. 244. 6: 8900 | Comando y control |
IPv4 | 35. 199. 60. 58 | IP SMTP |
SHA256 | 36a9e7f1c95b82ffb99743e0c5c4ce95d83c9a430aac59f84ef3cbfab6145068 | b.txt |
IPv4 | 37. 49. 227. 98 | IP SMTP |
SHA256 | 5d5100480985f7cb1f2bf0ad8d104325a75d511b8af6c8e87e6081e6f43194e6 | MSIB8A5.tmp |
IPv4 | 69. 167. 136. 131 | IP SMTP |
SHA256 | 7e643c188a1ee3b0251b7dfcab000b7c48fd840eff35189e8a45901852e3910a | ssleay32.dll |
SHA256 | 8cea66c4bd7b03666a88e80791edb015df847381702a356eae0c2f8b6dd08e71 | MSIACAA.tmp |
SHA256 | ca763693cc25d316f14a9ebad80ebf00590329550c45adb7e5205486533c2504e | MSIAC0B.tmp |
SHA256 | d2ea96db9ddfa369200ebb5fd30c6b884acabdc39de8704a1ec934488cd86a09 | SiiFacturaMayonopagada.msi |
SHA256 | d2ea96db9ddfa369200ebb5fd30c6b884acabdc39de8704a1ec934488cd86a09 | SiiFacturaMayonopagada.zip |
SHA256 | e28e34fbdaff077669586dcdb4e10f0ba2ca6c9973ed4d372a5c3ec3b8ad20e7 | libeay32.dll |
URL | ipinfo. io | Whois |
notificaciones@smartform. cl | Correo de salida | |
support@dailyxetai. vn | Correo de salida | |
support@ddec. pf | Correo de salida | |
support@ecomall. xyz | Correo de salida | |
support@fordcouncil. com | Correo de salida | |
support@gothamapparel. com | Correo de salida | |
support@gpsplus. pe | Correo de salida | |
support@samehada. one | Correo de salida | |
support@sier. regioncusco. gob. pe | Correo de salida | |
support@tbmsg. org | Correo de salida | |
MITRE ATT&CK | T1012 | Registro de consultas |
MITRE ATT&CK | T1082 | Descubrimiento de información del sistema |
MITRE ATT&CK | T1120 | Descubrimiento de dispositivos periféricos |
MITRE ATT&CK | T1546. 016 | Paquetes de instalación |
MITRE ATT&CK | T1566. 002 | Acceso Inicial (Mediante Phishing) |
ventas@ventasimfa. com | Correo de salida |