Tesorería General de la República - Suplantación con malware
CMV24-00483Desde el CSIRT de Gobierno alertamos del descubrimiento de una nueva campaña de difusión de malware.
En esta ocasión, se trata de una campaña de phishing con malware, distribuido a través de un email que se hace pasar como proveniente de la Tesorería General de la República (TGR).
El correo electrónico alude a una supuesta devolución de impuestos pendiente.
Si la víctima hace clic, descarga el archivo enlazado e interactúa con el fichero malicioso, se encuentra con Mekotio. Este es un troyano bancario dirigido principalmente a naciones de Iberoamérica y que destaca por el uso de comandos de base de datos SQL para obtener información del sistema infectado y enviarla a un servidor de comando y control.
Indicadores de Compromiso
| Tipo | Valor | Comentario |
|---|---|---|
| IPv4 | 185. 43. 207. 177 | IP SMTP |
| SHA256 | 1e74435045984691a9d8bce58101b8e3509c1031142b8aedd8f81d1c67eedbd2 | DevolucionImpuestopiendenteTGR_b1Gz5R2UBS.cmd |
| SHA256 | 28225c5622637cdaed8342e14560e8de7b53dd6ba145d973643fc4b5bdd67b75 | - |
| SHA256 | dc626f8f3b32c1e751d02c3e881bdfdc701a8db9dcb11a424b68f69fd7c4ce5c | DevolucionImpuestopiendenteTGR_16081.zip |
| URL | https: //arconmat. org/images/Devolucion_Impuestos_2024_TGR_X6647C. pdf?870949167 | URL falso formulario |
| URL | https: //artin-services. com/viral/eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9. eyJ1dWlkIjoiOTRmMjJiNjQtNTczOC00NGY5LTgwNzItNWJlZTZjM2ZlMjAzIiwiaWF0IjoxNzI0MzM2ODI0LCJleHAiOjE3MjQzMzY4MzB9. XBUOsLu3l-e4SuUhcAswOGdNR_K35ZqABZSldebU5VQ | URL descarga fichero |
| URL | https: //ebccarpentrydublin. com/pdf/acion/des/carga/?hash={Correo electronico} | URL redirección |
| URL | https: //www. enviroecobusiness. ro/1/dev/oluci/oondescarga/tgr/?hash=DevolucionTGR | URL comprobación |
| Asunto Email | Restitución de Valores de Impuestos. 08/21/2024 06: 15: 11 pm | Asunto correo |
| support@en. appo. io | Correo de salida | |
| MITRE ATT&CK | T1012 | Consulta del Registro |
| MITRE ATT&CK | T1059 | Intérprete de comandos y secuencias de comandos |
| MITRE ATT&CK | T1059. 001 | PowerShell |
| MITRE ATT&CK | T1059. 003 | Shell de comandos de Windows |
| MITRE ATT&CK | T1082 | Descubrimiento de información del sistema |
| MITRE ATT&CK | T1105 | Transferencia de herramientas |
| MITRE ATT&CK | T1518 | Descubrimiento de software |
| MITRE ATT&CK | T1518. 001 | Detección de software de seguridad |
| MITRE ATT&CK | T1562 | Deteriorar las defensas |
| MITRE ATT&CK | T1562. 002 | Desactivar el registro de eventos de Windows |
| MITRE ATT&CK | T1566. 002 | Acceso Inicial (Mediante Phishing) |
Evidencias
Evidencia 1:
Evidencia 2: