Falsa factura impaga - Suplantación con malware
CMV24-00477Desde el CSIRT de Gobierno alertamos del descubrimiento de una nueva campaña de difusión de malware a través de email (malspam).
En esta ocasión, se trata de una campaña de phishing con malware, distribuido a través de un email que se hace pasar como unas facturas vencidas.
El correo electrónico alude a una supuestas facturas vencidas para provocar que la víctima haga clic en un enlace malicioso.
Agent Tesla es un malware que sustrae información confidencial y la envía a los atacantes. Para realizarlo, busca las credenciales que se almacenan en diferentes programas como navegadores, clientes de correos electrónicos, clientes FTP/SCP, bases de datos, herramientas de administración remota, aplicaciones VPN y de mensajería instantánea. Asimismo, este malware es capaz de robar datos del portapapeles, grabar las pulsaciones del teclado (keylogger) y realizar capturas de pantalla.
Agent Tesla envía toda la información sustraída a los atacantes por medio de correo electrónico, Telegram, Discord, subiéndolos a un sitio web o un servidor de FTP.
Indicadores de Compromiso
| Tipo | Valor | Comentario |
|---|---|---|
| IP:Puerto | 143. 95. 79. 226: 21 | Comando y control |
| IP:Puerto | 143. 95. 79. 226: 43099 | Comando y control |
| IP:Puerto | 208. 95. 112. 1: 80 | Whois |
| IPv4 | 23. 95. 246. 7 | IP SMTP |
| SHA256 | 26c75dea56be0a425cd6fe3592fcf52a079a99bce79f8c5f80837268199f71d2 | facturas, 0098, 00993, 00976, 009668, 009678, 005659843332.exe |
| SHA256 | bfefcee218f14d6730bfec6623b3c0af040e859e16e5a019c8e2b9b6ce352313 | facturas, 0098, 00993, 00976, 009668, 009678, 005659843332.bz2 |
| centralcambio@itau-unibanco. com. br | Correo de salida | |
| Asunto Email | estado de cuentas | Asunto correo |
| Dominio | ftp. elquijotebanquetes. com | Dominio CnC |
Evidencias
