Falsa citación judicial - Suplantación con malware
CMV24-00487Desde el CSIRT de Gobierno alertamos del descubrimiento de una nueva campaña de difusión de malware.
En esta ocasión, se trata de una campaña de phishing con malware, distribuido a través de un email que se hace pasar como una citación judicial a una audiencia, correo que también usa falsamente los nombres de la Policía de Investigaciones y de la Compañía General de Electricidad.
El correo electrónico alude a una falsa audiencia. Si la víctima hace clic, descarga el archivo enlazado e interactúa con el fichero malicioso, se encuentra con Mekotio. Este es un troyano bancario dirigido principalmente a naciones de Iberoamérica y que destaca por el uso de comandos de base de datos SQL para obtener información del sistema infectado y enviarla a un servidor de comando y control.
Indicadores de Compromiso
| Tipo | Valor | Comentario |
|---|---|---|
| IP:Puerto | 146. 59. 116. 73: 8901 | Comando y control |
| IPv4 | 179. 188. 7. 69 | IP SMTP |
| SHA256 | 8f02c9b4c6014c01d6c753beafd0b9b2f161acce70ba0e16962b2ef18a65c1dc | BoletaEletricidadCgeFactCodRef_aIfjuD5Z.cmd |
| SHA256 | e2807776e4085aa3358ffe2b1ddbf044e3bc0975ff3ad2b31d9c548b52753134 | BoletaEletricidadCgeFactCodRef_76039.zip |
| URL | http: //146. 59. 116. 73/contadores/UTM95Aq7. php?qBf0=N5DjsFX01XC1zFXaqCyKo9mwxxeZASjHhBqymMF81s3Yb4xeRbKxuoVKf9qUql15bAZcZkYY5P | URL información complementaria |
| URL | http: //ipinfo. io/json | WHOIS |
| URL | https: //alaalamschools. com/CGEPDF/2024_CGE_Boleta_ElectronicaCodRef545123. pdf?472606990 | URL redireccion falso documento |
| URL | https: //aoowq. com/?hash=DescargaFacturaCGE?600718789 | URL descarga |
| URL | https: //ebccarpentrydublin. com/sp/CGEeletricidad/boletafact/cge/p/d/f/des/carga/?hash=p | URL redirección |
| Asunto Email | Lea Esto Urgente: Audiencia Judicial - 993423 - 25/09/2024 - 09: 19: 44 | Asunto correo |
| servicos@smtplw-10. com | Correo de salida | |
| MITRE ATT&CK | T1012 | Registro de consultas |
| MITRE ATT&CK | T1016 | Detección de la configuración de red del sistema |
| MITRE ATT&CK | T1059 | Intérprete de comandos y scripts |
| MITRE ATT&CK | T1059. 001 | PowerShell |
| MITRE ATT&CK | T1059. 003 | Shell de comandos de Windows |
| MITRE ATT&CK | T1071 | Protocolo de la capa de aplicación |
| MITRE ATT&CK | T1204 | Ejecución por el usuario |
| MITRE ATT&CK | T1204. 002 | Archivo malicioso |
| MITRE ATT&CK | T1497 | Evasión de la virtualización/Sandbox |
| MITRE ATT&CK | T1497. 003 | Evasión basada en el tiempo |
| MITRE ATT&CK | T1562 | Deterioro de las defensas |
| MITRE ATT&CK | T1562. 002 | Desactivar el registro de eventos de Windows |
| MITRE ATT&CK | T1566. 002 | Acceso Inicial (Mediante Phishing) |
Evidencias
