2CMV-00033-001 CSIRT advierte de phishing con malware en correo que suplanta a la Tesorería General de la República

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT), ha identificado una campaña de phishing con malware asociado, a través de un correo electrónico que supuestamente proviene de la Tesorería General de la Republica.

Los delincuentes buscan engañar a los usuarios advirtiéndoles sobre una supuesta liquidación tributaria impaga. A la potencial víctima se le ofrece la posibilidad de descargar, desde un enlace, el informe generado por el Servicio de Impuesto Internos. Al seleccionar el Hipervínculo, la víctima es direccionada automáticamente hasta el archivo malicioso. Este archivo, al ser ejecutado genera un proceso de instalación. Luego de la instalación, se genera una conexión a internet descargando un supuesto documentos Word, pero en realidad es un archivo Zip que contiene tres archivos más. Se adjuntan los indicadores de compromisos.

 

Indicadores de compromisos

Url’s:

http[:]//www[.]tokenschile[.]com/public/?acao=descargar[.]cgi

https[:]//files[.]fm/pa/account-business/2019-09-30_c4veawtd/business_tesoreria[.]zip

https[:]//files[.]fm/down[.]php?truemimetype=1&i=serb96qc

http[:]//filesdocuments[.]com/documentOP3[.]doc

http[:]//51[.]15[.]249[.]181

 

Smtp Host

[185.206.214.129]

[185.206.214.121]

 

Sender

root@r[.]com

 

Subject:

Aviso (TGR)

 

Archivos adjuntos.

Nombre             :             business_tesoreria.msi

MD5                   :             84a2c2d4a435bff6809399229236e7e0

 

Nombre             :             documentOP3.doc (zip)

MD5                   :             d13ba3428e19489d635066c3024ab429

 

Nombre             :             F0Z3TNE1EOAZB24ZZWSFD6CON13X9O.dll

MD5                   :             0cbdca5d50c9bd6ffb1387921f37bc18

 

Nombre             :             T6ERC5ECZL5V0MEHI1B1AEE7SZCS4.EXE

MD5                   :             c56b5f0201a3b3de53e561fe76912bfd

 

Nombre             :             BFVUCX3T5T4UPAUZW3LWEFWBUNMP5

MD5                   :             60077c43751f4e160f38ccb0df5f3d54

Recomendaciones

  • Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java y otras)
  • Evaluar el bloqueo preventivo de los indicadores de compromisos
  • Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas
  • Revisar los controles de seguridad de los AntiSpam y SandBoxing
  • Realizar concientización permanente para los usuarios sobre este tipo de amenazas

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 2CMV-00033-001