Falsa citación judicial - Suplantación con malware
CMV24-00494Desde la Agencia Nacional de Ciberseguridad (ANCI) alertamos del descubrimiento de una nueva campaña de difusión de malware.
Esta campaña de difusión de programas maliciosos (malware) se difunde a través de un email que alude a una supuesta citación a un juzgado, lo que es totalmente falso.
Si la víctima interactúa con el archivo adjunto se encuentra con un malware de tipo remcos (por “control remoto y vigilancia” en inglés), que da al atacante el control total del sistema.
La campaña de este malware ha sido bautizada como "Mellis".
El malware se puede entregar en diferentes etapas e incorpora varias tácticas de ofuscación y anti-debugging para evitar ser detectado. Algunos de sus servicios adicionales incluyen keylogging, mass-mailer y servicios dynDNS.
Indicadores de Compromiso
Tipo | Valor | Comentario |
---|---|---|
IP:Puerto | 181. 235. 21. 60: 5353 | Comando y control |
SHA256 | 29c3c48f4dc84e7179881bc3767546878b2db89d418372f687edbd4a72ef0989 | CiscoSparkLauncher.dll |
SHA256 | 31d6ccf7e4c1afacc51216ecd07e47c9aff14ba6823eeff10dceb8a410df499d | FISCALIA-GENERAL-CITACIÓN-PRESENCIAL-AL-JUZGADO-DELITO-ABUSO-DE-CONFIANZA-ART_p40gy89e.svg |
SHA256 | 85bcfc9de06bd0751245ad882f7e2141f340cdedefcaefb8deabbc0792088a58 | 01 DEMANDA LABORAL POR ABUSO DE CONFIANZA.exe |
SHA256 | a53ec05a1c33d2d78afa7e0b7385a8e60388d19110ba1cf72afa99d295bad315 | DEMANDA LABORAL POR ABUSO DE CONFIANZA 01.XZ |
SHA256 | fe8b684b17b074d43782c9419f8739c0179c34e095a02c30e4519face3a51489 | VERSION.dll |
URL | https: //i0004. clarodrive. com/s/YQgMDksdoFKPGGt/download?id=82042b29-9a1a-490a-bb25-87c36d6b9466 | Descarga de archivo |
URL | melloreservas. kozow. com: 5353 | Comando y control |
MITRE ATT&CK | T1016 | Detección de la configuración de red del sistema |
MITRE ATT&CK | T1053. 005 | Tarea programada |
MITRE ATT&CK | T1059. 003 | Shell de comandos de Windows |
MITRE ATT&CK | T1071 | Protocolo de capa de aplicación |
MITRE ATT&CK | T1204. 002 | Archivo malicioso |
MITRE ATT&CK | T1497. 003 | Evasion basada en tiempo |
MITRE ATT&CK | T1548. 002 | Eludir el control de cuentas de usuario |
MITRE ATT&CK | T1566. 002 | Acceso Inicial (Mediante Phishing) |
MITRE ATT&CK | T1571 | Puerto no estándar |