Servicio de Impuestos Internos - Suplantación con malware
CMV24-00478Desde la Agencia Nacional de Ciberseguridad (ANCI) alertamos del descubrimiento de una nueva campaña de difusión de malware.

En esta ocasión, se trata de una campaña de phishing con malware, distribuido a través de un email que se hace pasar como proveniente del Servicio de Impuestos Internos (SII).
El correo electrónico alude a supuestas facturas impagas para provocar que el destinatario haga clic en un enlace malicioso.
Si la víctima hace clic, descarga el archivo enlazado e interactúa con el fichero malicioso, se encuentra con Mekotio, un troyano bancario dirigido principalmente a naciones de Iberoamérica (con campañas que apuntan a diferentes países, como Chile) y que destaca por el uso de comandos de base de datos SQL para obtener información del sistema infectado y enviarla a un servidor de comando y control.
Indicadores de Compromiso
Tipo | Valor | Comentario |
---|---|---|
IP:Puerto | 104. 237. 152. 250: 2050 | Comando y control |
IPv4 | 161. 132. 40. 128 | IP SMTP |
SHA256 | 41421f5c12d966493a33483f6ea460a6162edb01d25ca6f7a07b0cfb5fba4bd7 | impuestomayonopagoMayo.zip |
SHA256 | 4ef45d10ebca266197d7461702a584f661c2b5df40f19f05cf7c56899ee7e2cc | impuestomayonopagoMayo.bat |
Asunto Email | Factura electrónica - 8171983935208134 | Asunto correo |
support@gpsplus. pe | Correo de salida |