Poder Judicial - Suplantación con malware
CMV24-00484Desde el CSIRT de Gobierno alertamos del descubrimiento de una nueva campaña de difusión de malware.
En esta ocasión, se trata de una campaña de phishing con malware, distribuido a través de un email que se hace pasar como proveniente del Poder Judicial.
El correo electrónico alude a una supuesta audiencia pública que involucra una falsa disputa de indemnización por daños entre las partes.
Si la víctima hace clic, descarga el archivo enlazado e interactúa con el fichero malicioso, se encuentra con Mekotio. Este es un troyano bancario dirigido principalmente a naciones de Iberoamérica y que destaca por el uso de comandos de base de datos SQL para obtener información del sistema infectado y enviarla a un servidor de comando y control.
Indicadores de Compromiso
| Tipo | Valor | Comentario |
|---|---|---|
| SHA256 | 28225c5622637cdaed8342e14560e8de7b53dd6ba145d973643fc4b5bdd67b75 | - |
| SHA256 | 2fcf28af66178424b8b556846eb62f69e46231510bd7d43cb658743171cf03a1 | IntimacionPoderJudicial1080706696_48180.zip |
| IPv4 | 62. 171. 171. 110 | IP SMTP |
| IP:Puerto | 66. 228. 42. 224: 8901 | Comando y control |
| Asunto Email | Citación 1080706696/2024. | Asunto correo |
| SHA256 | da844d08ed86a9531f96645f945cfca5ee24208d52b48874646d2e0a2a175599 | IntimacionPoderJudicial1080706696_YODy4Kfc.cmd |
| URL | http: //66. 228. 42. 224/contadores/5U0gC. php?R05=EDO5nkhNeVFLulH27nNQihbpMOjedOIRdnsfzlOddE1Sye55y96bBIcZ | Segunda fase de infección |
| URL | https: //alaalamschools. com/file/filespdf/poderjudicial/poderjudicial_1080706696_2024. pdf?258523418 | URL falso documento |
| URL | https: //aoowq. com/silvergold/eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9. eyJ1dWlkIjoiNDkzYTA1NGItY2UzMi00Y2YzLThiODEtNWI1ZDc0NmFlZTc5IiwiaWF0IjoxNzI1MjkwNzYwLCJleHAiOjE3MjUyOTA3NjZ9. ap4y9umowIHnWuDCPR3d4Q9Rb8lYcoPXDkMmzVTTBLU/?hash=poderfudicial?182669417 | URL descarga |
| URL | https: //ebccarpentrydublin. com/poder/judicial/intimacioncl/descargapdf/pdfpj/?hash={Correo electronico} | URL redirección |
| support@ptalogistics. in | Correo de salida | |
| MITRE ATT&CK | T1012 | Registro de consultas |
| MITRE ATT&CK | T1016 | Detección de la configuración de red del sistema |
| MITRE ATT&CK | T1059 | Intérprete de comandos y scripts |
| MITRE ATT&CK | T1059. 001 | PowerShell |
| MITRE ATT&CK | T1059. 003 | Shell de comandos de Windows |
| MITRE ATT&CK | T1071 | Protocolo de la capa de aplicación |
| MITRE ATT&CK | T1204 | Ejecución por el usuario |
| MITRE ATT&CK | T1204. 002 | Archivo malicioso |
| MITRE ATT&CK | T1497 | Evasión de la virtualización/Sandbox |
| MITRE ATT&CK | T1497. 003 | Evasión basada en el tiempo |
| MITRE ATT&CK | T1562 | Deterioro de las defensas |
| MITRE ATT&CK | T1562. 002 | Desactivar el registro de eventos de Windows |
| MITRE ATT&CK | T1566. 002 | Acceso Inicial (Mediante Phishing) |
Evidencias
Evidencia 1:
Evidencia 2: