Falso comprobante fiscal digital por internet - Suplantación con malware
CMV24-00460En el CSIRT de Gobierno encontramos una nueva campaña de difusión de malware a través de email (malspam). Los siguientes son los detalles.
La campaña se distribuye a través de un email fraudulento que incluye un malware llamado Quasar RAT, que puede robar información del equipo infectado e instalar archivos en él. ¡No hagas clic!
Los delincuentes buscan que el destinatario haga clic haciendo pasar su adjunto como un falso Comprobante Fiscal Digital por Internet (CFDI), documento que se encuentra adjunto en formato XML o en un supuesto archivo PDF.
Si la víctima interactúa con el archivo descargado se encontrará con Quasar RAT, una herramienta de administración remota de código abierto. Este malware puede realizar keylogging, capturas de pantalla y establecer un proxy inverso para descargar y cargar archivos al dispositivo infectado utilizando la carga lateral de bibliotecas de vínculos dinámicos (DLL).
Indicadores de Compromiso
| Tipo | Valor | Comentario |
|---|---|---|
| IPv4 | 45. 40. 96. 163 | IP dominio |
| SHA256 | 5e6e4b921c30e9b12e65e110b4833c84c7f2621d7fe16fd890dd511308634bbf | rPx37.vbs |
| SHA256 | bd098ae264b4ac2097867132ee29b23af5b21d200abd77f033d343fcd2cbd37e | ❉𝔽𝕒𝕔𝕥𝕦𝕣𝕒❉_⑥①⑨⑧②④⑤④.zip |
| SHA256 | d5c740ccdb8e748282de69f20e58eb7860f2174d6bfe43d50851ad32df4ac002 | ❉𝔽𝕒𝕔𝕥𝕦𝕣𝕒❉_⑧⑨⑦③⑥⑤⑨⑤.hta |
| URL | https: //l. ead. me/bf0wik | URL redirección |
| URL | https: //livmallsusps. apaneymster. com/Y1Kz2PEvOUBWGvKRBFVAMcUesmafwJKCpCIx4iaW1scUgOwu6HQcDtS5clVPFyO2zeKZkj9vrLVxQ7hxNfZLvs/yzQTZKkC5xV59fCC1o/CaqbtuFPPUnYQzY9zknph40LVKXHpAXX/QVJI4fZOUHEAz3coRIH9p/svefyVo1R9DkgJT3B3 | URL descarga |
| Dominio | sistezmastegoodys. com | Dominio |
| MITRE ATT&CK | T1036 | Enmascaramiento |
| MITRE ATT&CK | T1055 | Inyección de procesos |
| MITRE ATT&CK | T1059 | Intérprete de comandos y secuencias de comandos |
| MITRE ATT&CK | T1064 | Scripting |
| MITRE ATT&CK | T1082 | Descubrimiento de información del sistema |
| MITRE ATT&CK | T1114 | Recopilación por correo electrónico |
| MITRE ATT&CK | T1140 | Desofuscar/Decodificar archivos o información |
| MITRE ATT&CK | T1566. 002 | Mediante Phishing |
| MITRE ATT&CK | T1573 | Canal cifrado |
Evidencias
Evidencia 1:
Evidencia 2: