Tesorería General de la República - Suplantación con malware
CMV24-00493Desde la Agencia Nacional de Ciberseguridad (ANCI) alertamos del descubrimiento de una nueva campaña de difusión de malware.
En esta ocasión, se trata de una campaña de phishing con malware, distribuido a través de un email que se hace pasar por un monto pendiente de devolución, correo que también usa de manera fraudulenta el nombre de la Tesorería General de la República (TGR).
Si la víctima hace clic, descarga el archivo enlazado e interactúa con el fichero malicioso, se encuentra con Mekotio.
Mekotio es un troyano bancario dirigido principalmente a naciones de Iberoamérica y que destaca por el uso de comandos de Powershell para evadir las protecciones del sistema operativo y el uso de WMI para obtener información del sistema infectado y enviarla a un servidor de comando y control.
Indicadores de Compromiso
Tipo | Valor | Comentario |
---|---|---|
SHA256 | 101665452ebc6e400550380510e8db10a9ce2af1e458f928ca4b0188daeceb9d | PDQConnectUpdater-0.3.0.msi |
IPv4 | 37. 27. 113. 198 | IP SMTP |
SHA256 | 56186e8c33ad8da8621134794f3a8dee38f9b0462e2dd679908c1374938ddb36 | pdq-connect-agent.exe |
SHA256 | 5cb2aefeae32550fe5ab5bf339e45fb752fda5c0657d35bc39c21124de9a99ef | TGR_pendientededevolucion.msi |
SHA256 | 8daa7bc4f2e938960186dfd65ee38cc8917361c90dc9cfef5f2ce83306691988 | pdq-connect-updater.exe |
SHA256 | b30269d23aa4024dede6768534680de4a509dc30b2e25cd83783308102bbeaed | ko0xw1kj.dll |
SHA256 | bcc548e72b190d8f39dcb19538444e2576617a21caba6adcb4116511e1d2ddee | WixToolset.Dtf.WindowsInstaller.dll |
SHA256 | caa9da1c55e33446eaeb783957e990847369423c7dd652f07a5c93bf1d786a66 | WixSharp.dll |
URL | https: //digitalregister. subharti. org/devolucionTGR/TGR/devolucion/Impuestos/PDFMSI/ver/Octubre/?hash={Correo electronico} | URL redirección |
URL | https: //eddie. ro/fmp/TGR_pendientededevolucion. msi?370461724 | URL descarga de archivo |
Asunto Email | Monto pendiente de devolución de impuestos a su nombre. | Asunto del correo |
support@shelfy. nl | Correo de salida | |
MITRE ATT&CK | T1012 | Registro de consultas |
MITRE ATT&CK | T1082 | Descubrimiento de información del sistema |
MITRE ATT&CK | T1120 | Descubrimiento de dispositivos periféricos |
MITRE ATT&CK | T1218 | System Binary Proxy Execution |
MITRE ATT&CK | T1218. 007 | Msiexec |
MITRE ATT&CK | T1546 | Ejecución activada por eventos |
MITRE ATT&CK | T1546. 016 | Paquetes de instalación |
MITRE ATT&CK | T1566. 002 | Acceso Inicial (Mediante Phishing) |