Compañía General de Electricidad (CGE) - Suplantación con malware
CMV24-00458En el CSIRT de Gobierno encontramos una nueva campaña de difusión de malware a través de email (malspam). Los siguientes son los detalles.
En esta ocasión, se trata de una campaña que suplanta a la Compañía General de Electricidad (CGE) a través de un correo electrónico que alega un falso problema en la emisión de boletas electrónicas.
Si la víctima interactúa con el fichero malicioso se encuentra con Mekotio, un troyano bancario dirigido principalmente a naciones de Iberoamérica y que destaca por el uso de comandos de base de datos SQL para obtener información del sistema infectado y enviarlo al servidor de Comando y Control.
Indicadores de Compromiso
| Tipo | Valor | Comentario |
|---|---|---|
| SHA256 | 0b54964ac1a1b50ba932561aee89eb9e21c388a2f1ce8034399b79dc078cf289 | FactCgeBoletaMarzo.msi_32009.zip |
| IPv4 | 199. 189. 224. 32 | IP SMTP |
| IPv4 | 46. 18. 193. 66 | IP SMTP |
| IPv4 | 64. 91. 247. 208 | IP SMTP |
| SHA256 | 71e76703ed27e2360577c159daf60e2b26d470090f80dce9fa0ecaf07139075e | FactCgeBoletaMarzo.msi_FactCgeBoletaMarzo.msi_32009.msi |
| SHA256 | 7e643c188a1ee3b0251b7dfcab000b7c48fd840eff35189e8a45901852e3910a | ssleay32.dll |
| IPv4 | 89. 31. 98. 27 | IP SMTP |
| SHA256 | e28e34fbdaff077669586dcdb4e10f0ba2ca6c9973ed4d372a5c3ec3b8ad20e7 | libeay32.dll |
| URL | https: //nvestpdf. com: 6789/color/?751806920 | URL comprobación |
| URL | https: //nvestpdf. com: 6789/silvergold/eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9. eyJ1dWlkIjoiNjQ4YTNmYjEtMDg5ZS00MmE4LTk2ZjQtOWNlMjdkODZiYzRmIiwiaWF0IjoxNzEzNDQ4ODAyLCJleHAiOjE3MTM0NDg4MDh9. F3BcSiao6kzJSTukmOKHwU2iOQfU64mIAr40TgRr40s/ | URL redirección |
| URL | https: //nvestpdf. com: 6789/viral/eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9. eyJ1dWlkIjoiNjQ4YTNmYjEtMDg5ZS00MmE4LTk2ZjQtOWNlMjdkODZiYzRmIiwiaWF0IjoxNzEzNDQ4ODAyLCJleHAiOjE3MTM0NDg4MDh9. F3BcSiao6kzJSTukmOKHwU2iOQfU64mIAr40TgRr40s | URL contenedora del fichero |
| URL | https: //sharonhewittforgovernor. za. com/cgeboletaeletricidadmarzo/descargadefactu/?hash={Correo electronico} | Descarga del fichero |
| support@bvgo. nl | Correo de salida | |
| support@cynthiashomesonline. com | Correo de salida | |
| support@the-californian. digipreprod. fr | Correo de salida | |
| support@thenonprofittimes. com | Correo de salida | |
| MITRE ATT&CK | T1012 | Consulta del Registro |
| MITRE ATT&CK | T1082 | Información del Sistema |
| MITRE ATT&CK | T1566. 002 | Mediante Phishing |
| MITRE ATT&CK | T1571 | Puerto no estándar |
Evidencias
Evidencia 1: