Compartir:

Facebook Twitter Mastodon Telegram Twitter WhatsApp

2CMV-00035-001 CSIRT advierte de malware en falso correo de Tesorería

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT), ha identificado una campaña de phishing con malware asociado, a través de un correo electrónico que supuestamente proviene de la Tesorería General de la Republica. Los criminales buscan engañar a los usuarios advirtiéndoles sobre una supuesta liquidación tributaria impaga. A la potencial víctima se le ofrece la posibilidad de descargar desde un enlace el informe generado por el Servicio de Impuesto Internos. Al seleccionar el hipervínculo se inicia el proceso para la descarga del archivo malicioso. Junto a este informe se adjuntan indicadores de compromiso.

Indicadores de compromiso

Url’s:

http[:]//copiasul[.]com[.]br/error

http[:]//copiasul[.]com[.]br/erros/index2[.]php

http[:]//copiasul[.]com[.]br/wrapper-bin/index2[.]php

http[:]//18[.]209[.]163[.]113/cont/puma[.]php

http[:]54[.]198[.]30[[.]]41/v

http[:]//copiasul[.]com[[.]]br/wrapper-bin/shoy/amyst3rd[.]jab

Sender

mmca@64149hpv095002[.]ikoula[.]com

server2@srv-8063[.]devcloud[.]hosting[.]acquia[.]com

server3@srv-8064[.]devcloud[.]hosting[.]acquia[.]com

server7@srv-8068[.]devcloud[.]hosting[.]acquia[.]com

server6@srv-8067[.]devcloud[.]hosting[.]acquia[.]com

server4@srv-8065[.]devcloud[.]hosting[.]acquia[.]com

server5@srv-8066[.]devcloud[.]hosting[.]acquia[.]com

bitarafhaber@bitarafhaber[.]com[.]tr

hastenllc@srv194[.]prodns[.]com[.]br

Smtp Host

i1775-198.members.linode[.]com          [172.104.184.198 ]

li473-9.members.linode[.]com                [176.58.108.9]

host-185-59-31-167.ttnetdc[.]com         [185.59.31.167]

li1823-170.members.linode[.]com         [172.104.246.170]

epsilon.imcconseil[.]fr                               [178.170.95.2]

gateway33.websitewelcome[.]com        [192.185.146.195]

gateway33.websitewelcome[.]com        [192.185.145.24]

host-185-59-31-167.ttnetdc[.]com         [185.59.31.167]

acquiamail10.acquia[.]com                      [173.203.82.6]

Subject:

Tesoreria General de la Republica

Archivos

Nombre             :             TGR-1321357581_.zip

MD5                    :             55b6a3e71153efa0e02094383e604fd9

Nombre             :             TW9069119609.msi

MD5                   :             8cd4b8acc4b112d02237010616f4843c

Nombre             :             aMyst3rD.jab

MD5                    :             c4168ef94fbfbfe4a1f8d63a27312b92

Nombre             :             I8TMIRB7F1XNQEIB4M8GGTC0OK8SHZUPQSG3T3

MD5                    :             b6de746a05f56afa69f9615b047705c5

Nombre             :             Q6M8XFKV4INKV5KHHEYL4510KU31F

MD5                    :             1d864318c347f24c4b0d30380bd9efb6

Nombre             :             YDOKWVU4UP303WP7AQK04Q7X1768JWPE

MD5                    :             c56b5f0201a3b3de53e561fe76912bfd

Recomendaciones

  • Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java y otras)
  • Evaluar el bloqueo preventivo de los indicadores de compromisos
  • Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas
  • Revisar los controles de seguridad de los AntiSpam y SandBoxing
  • Realizar concientización permanente para los usuarios sobre este tipo de amenazas

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 2CMV-00035-001