CGE - Suplantación con malware
CMV24-00495Desde la Agencia Nacional de Ciberseguridad (ANCI) alertamos del descubrimiento de una nueva campaña de difusión de malware.
En esta ocasión, se trata de una campaña de phishing con malware, distribuido a través de un email que se hace pasar por un monto pendiente de devolución, correo que también usa de manera fraudulenta el nombre de la Compañía General de Electricidad (CGE).
Si la víctima hace clic, descarga el archivo enlazado e interactúa con el fichero malicioso, se encuentra con Mekotio.
Mekotio es un troyano bancario dirigido principalmente a naciones de Iberoamérica y que destaca por el uso de comandos de Powershell para evadir las protecciones del sistema operativo y el uso de WMI para obtener información del sistema infectado y enviarla a un servidor de comando y control.
Indicadores de Compromiso
Tipo | Valor | Comentario |
---|---|---|
SHA256 | 101665452ebc6e400550380510e8db10a9ce2af1e458f928ca4b0188daeceb9d | PDQConnectUpdater-0.3.0.msi |
IPv4 | 161. 35. 54. 99 | IP SMTP |
IP:Puerto | 172. 66. 0. 236: 443 | IP comando y control |
IPv4 | 185. 118. 188. 71 | IP SMTP |
IPv4 | 188. 191. 156. 62 | IP SMTP |
IPv4 | 192. 190. 220. 138 | IP SMTP |
IPv4 | 203. 86. 235. 251 | IP SMTP |
IPv4 | 207. 246. 242. 252 | IP SMTP |
IPv4 | 37. 27. 113. 198 | IP SMTP |
IPv4 | 43. 228. 85. 218 | IP SMTP |
IPv4 | 45. 76. 252. 29 | IP SMTP |
SHA256 | 56186e8c33ad8da8621134794f3a8dee38f9b0462e2dd679908c1374938ddb36 | pdq-connect-agent.exe |
SHA256 | 8daa7bc4f2e938960186dfd65ee38cc8917361c90dc9cfef5f2ce83306691988 | pdq-connect-updater.exe |
SHA256 | a105ceeaba3107d7603a5e8ca963a0a86e7ce1317cdc2ee0c98485483134d52e | eagdidqc.dll |
Asunto Email | Atención - Tienes una factura electrónica pendiente de pago. | Asunto correo |
SHA256 | bcc548e72b190d8f39dcb19538444e2576617a21caba6adcb4116511e1d2ddee | WixToolset.Dtf.WindowsInstaller.dll |
SHA256 | caa9da1c55e33446eaeb783957e990847369423c7dd652f07a5c93bf1d786a66 | WixSharp.dll |
SHA256 | d702f70bc370ebb49ee4c8c97c598beacd01fbc6825e04aa34283f39937acefb | Factura_CGE_2024_Noviembre.msi |
SHA256 | f3bb2b9230b8a6066dfeeb172ad32ae3ea31d2d49c76bdcc8a1e2531fa61f5b7 | pdqconnectagent-setup.exe |
URL | https: //eddie. ro/dados/Factura_CGE_2024_Noviembre. msi?378894054 | URL descarga fichero |
URL | https: //wsaegypt. com/CGE/CGEeletricidad/DescargaBoleta/facteletricidad/?hash={Correo electronico} | URL redirección |
URL | pdqinstallers. e9d69694c3d8f7465fd531512c22bd0f. r2. cloudflarestorage. com | Comando y control |
support@dev. shades. tristarwebsolutions. co. uk | Correo de salida | |
support@kygoestocollege. com | Correo de salida | |
support@laperchadigital. com | Correo de salida | |
support@live. bronchoegypt. org | Correo de salida | |
support@shelfy. nl | Correo de salida | |
support@silkventures. com | Correo de salida | |
support@swfad-invoice. com | Correo de salida | |
support@web2. dhammahitech. com | Correo de salida | |
support@whyiacted. com | Correo de salida | |
MITRE ATT&CK | T1012 | Registro de consultas |
MITRE ATT&CK | T1059. 001 | PowerShell |
MITRE ATT&CK | T1082 | Descubrimiento de información del sistema |
MITRE ATT&CK | T1120 | Descubrimiento de dispositivos periféricos |
MITRE ATT&CK | T1218 | System Binary Proxy Execution |
MITRE ATT&CK | T1218. 007 | Msiexec |
MITRE ATT&CK | T1546 | Ejecución activada por eventos |
MITRE ATT&CK | T1546. 016 | Paquetes de instalación |
MITRE ATT&CK | T1566. 002 | Acceso Inicial (Mediante Phishing) |