Falsa factura impaga - Suplantación con malware
CMV24-00477Desde la Agencia Nacional de Ciberseguridad (ANCI) alertamos del descubrimiento de una nueva campaña de difusión de malware.
En esta ocasión, se trata de una campaña de phishing con malware, distribuido a través de un email que se hace pasar como unas facturas vencidas.
El correo electrónico alude a una supuestas facturas vencidas para provocar que la víctima haga clic en un enlace malicioso.
Agent Tesla es un malware que sustrae información confidencial y la envía a los atacantes. Para realizarlo, busca las credenciales que se almacenan en diferentes programas como navegadores, clientes de correos electrónicos, clientes FTP/SCP, bases de datos, herramientas de administración remota, aplicaciones VPN y de mensajería instantánea. Asimismo, este malware es capaz de robar datos del portapapeles, grabar las pulsaciones del teclado (keylogger) y realizar capturas de pantalla.
Agent Tesla envía toda la información sustraída a los atacantes por medio de correo electrónico, Telegram, Discord, subiéndolos a un sitio web o un servidor de FTP.
Indicadores de Compromiso
| Tipo | Valor | Comentario |
|---|---|---|
| IP:Puerto | 143. 95. 79. 226: 21 | Comando y control |
| IP:Puerto | 143. 95. 79. 226: 43099 | Comando y control |
| IP:Puerto | 208. 95. 112. 1: 80 | Whois |
| IPv4 | 23. 95. 246. 7 | IP SMTP |
| SHA256 | 26c75dea56be0a425cd6fe3592fcf52a079a99bce79f8c5f80837268199f71d2 | facturas, 0098, 00993, 00976, 009668, 009678, 005659843332.exe |
| SHA256 | bfefcee218f14d6730bfec6623b3c0af040e859e16e5a019c8e2b9b6ce352313 | facturas, 0098, 00993, 00976, 009668, 009678, 005659843332.bz2 |
| centralcambio@itau-unibanco. com. br | Correo de salida | |
| Asunto Email | estado de cuentas | Asunto correo |
| Dominio | ftp. elquijotebanquetes. com | Dominio CnC |
Evidencias
