Compañía General de Electricidad (CGE) - Suplantación con malware
CMV24-00485Desde el CSIRT de Gobierno alertamos del descubrimiento de una nueva campaña de difusión de malware.
En esta ocasión, se trata de una campaña de phishing con malware, distribuido a través de un email que suplanta al Poder Judicial.
El correo electrónico alude a una supuesta factura impaga del mes de septiembre, por lo que para evitar la suspensión del servicio se debe realizar el pago.
Si la víctima hace clic, descarga el archivo enlazado e interactúa con un programa malicioso llamado Mekotio. Éste es un troyano bancario dirigido principalmente a naciones de Iberoamérica y que se destaca por el uso de comandos de base de datos SQL, con el fin de obtener información del sistema infectado y enviarla a un servidor de comando y control.
Indicadores de Compromiso
| Tipo | Valor | Comentario |
|---|---|---|
| IPv4 | 49. 238. 228. 13 | IP SMTP |
| SHA256 | 5ed38c8d37a697493c340c1f585bd2fdff04be929f3108d743c65ac4fa828fc2 | BoletaEletricidadCgeFactCodRef545123_40570.zip |
| SHA256 | 93063ec598c4ddce7c67f4f406c68b37ea3b6a8ca734b72431600e1db1eaefd7 | BoletaEletricidadCgeFactCodRef545123_FaaA9DSfOX3F.cmd |
| Asunto Email | Factura no pagada, Septiembre- 2024 | Asunto correo |
| URL | http: //146. 59. 116. 73/contadores/x814z. php?bR7=rn6UHmqw29JimBVJNhr3etexQV7noz1vpo8j4aCO0MPurH5CRZeiPUUzQ | Información complementaria |
| URL | http: //ipinfo. io/json | WHOIS |
| URL | https: //alaalamschools. com/CGEPDF/2024_CGE_Boleta_ElectronicaCodRef545123. pdf?494926243 | URL documento falso |
| URL | https: //aoowq. com/?hash=DescargaCGE?739862687 | URL descarga |
| URL | https: //ebccarpentrydublin. com/CGEeletricidad/boletafact/cge/p/d/f/des/carga/?hash={correo electronico} | URL redirección documento falso |
| URL | https: //resonabnltd. com/1/cge/p/d/f/des/carga/?hash=DescargaCGE?262651588 | URL comprobación |
| langpal@all103. mireene. com | Correo de salida | |
| MITRE ATT&CK | T1012 | Registro de consultas |
| MITRE ATT&CK | T1016 | Detección de la configuración de red del sistema |
| MITRE ATT&CK | T1059 | Intérprete de comandos y scripts |
| MITRE ATT&CK | T1059. 001 | PowerShell |
| MITRE ATT&CK | T1059. 003 | Shell de comandos de Windows |
| MITRE ATT&CK | T1071 | Protocolo de la capa de aplicación |
| MITRE ATT&CK | T1204 | Ejecución por el usuario |
| MITRE ATT&CK | T1204. 002 | Archivo malicioso |
| MITRE ATT&CK | T1497 | Evasión de la virtualización/Sandbox |
| MITRE ATT&CK | T1497. 003 | Evasión basada en el tiempo |
| MITRE ATT&CK | T1562 | Deterioro de las defensas |
| MITRE ATT&CK | T1562. 002 | Desactivar el registro de eventos de Windows |
| MITRE ATT&CK | T1566. 002 | Acceso Inicial (Mediante Phishing) |
Evidencias
Evidencia 1:
Evidencia 2: