Genérico - Suplantación con malware
CMV24-00486Desde el CSIRT de Gobierno alertamos del descubrimiento de una nueva campaña de difusión de malware.
En esta ocasión, se trata de una campaña de phishing con malware, distribuido a través de un email que se hace pasar como proveniente de un estudio jurídico.
El correo electrónico alude a una falsa audiencia. Si la víctima hace clic, descarga el archivo enlazado e interactúa con el fichero malicioso, se encuentra con Mekotio. Este es un troyano bancario dirigido principalmente a naciones de Iberoamérica y que destaca por el uso de comandos de base de datos SQL para obtener información del sistema infectado y enviarla a un servidor de comando y control.
Indicadores de Compromiso
Tipo | Valor | Comentario |
---|---|---|
IPv4 | 141. 95. 52. 254 | IP SMTP |
IP:Puerto | 185. 241. 6. 33: 9096 | Comando y control |
SHA256 | d1d1fcb259b8a8783bfd8577aaac70bd7c05e190a6e76f86238e6f03da6208e1 | CANArchivoENDOC.18.41.^=&.cmd |
SHA256 | d82241b7c86d415d71e517e16f5b0b1efa19483c6300b49547c4044e87062876 | CANArchivoENDOC.18.41.^=&.zip |
Asunto Email | Documento Importante Adjunto (89531329) | Asunto correo |
facturassegura@vps-e0fc7fe3. vps. ovh. net | Correo de salida | |
URL | http: //185. 241. 6. 33/contadores/CfOLFe. php?clW=Fz0Dl4I3wCV3G0K2we9W8ADs53z8n82wkDViosvJFfyXVFPQESG1ZS5GtxqzJkaEqhCWn0nTz | URL información faltante |
URL | http: //ipinfo. io/json | WHOIS |
URL | https: //203. 21. 205. 92. host. secureserver. net/?DOCA000050001746275778215_5633-886317886317=726297726297?8205-23069071&tokenValue=92b768ccface4e96cee662517800b208f88ff796 | URL redirección |
URL | https: //canarchivoendoc. is-a-celticsfan. org/process_token. php?token=d6fa3d54aaebfe54992ab22974dd218c | URL descarga fichero |
MITRE ATT&CK | T1012 | Registro de consultas |
MITRE ATT&CK | T1016 | Detección de la configuración de red del sistema |
MITRE ATT&CK | T1059 | Intérprete de comandos y scripts |
MITRE ATT&CK | T1059. 001 | PowerShell |
MITRE ATT&CK | T1059. 003 | Shell de comandos de Windows |
MITRE ATT&CK | T1071 | Protocolo de la capa de aplicación |
MITRE ATT&CK | T1204 | Ejecución por el usuario |
MITRE ATT&CK | T1204. 002 | Archivo malicioso |
MITRE ATT&CK | T1497 | Evasión de la virtualización/Sandbox |
MITRE ATT&CK | T1497. 003 | Evasión basada en el tiempo |
MITRE ATT&CK | T1562 | Deterioro de las defensas |
MITRE ATT&CK | T1562. 002 | Desactivar el registro de eventos de Windows |
MITRE ATT&CK | T1566. 002 | Acceso Inicial (Mediante Phishing) |