2CMV-00038-001 CSIRT advierte de malware en correo sobre supuesto proceso judicial

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT), ha detectado una campaña de phishing con malware asociado, a través de un correo electrónico suplantando al Ministerio de Justicia y Derechos Humanos.

Los estafadores buscan engañar a los usuarios advirtiéndoles que existe un proceso criminal en su nombre y que tienen un plazo de 48 horas para recurrir en su defensa. A la potencial víctima se le ofrece la posibilidad de descargar desde un enlace en el correo, una copia del proceso judicial. Al seleccionar el hipervínculo, la víctima es direccionada automáticamente hasta página donde se descarga el archivo malicioso.

 

Indicadores de compromisos

Url’s:

http://medianews[.]ge/_manager/img/public[.]php

http[:]//18[.]209[.]163[.]113/cont/puma[.]php

http[:]//www[.]mckenzie[.]com[.]br/bkp/fonts/_notes/p0reXacnelt0[.]zip

 

Sender

www-data@[103[.]3[.]60[.]67]

www-data@[172[.]104[.]23[.]84]

www-data@[97[.]107[.]135[.]6]

www-data@[172[.]105[.]115[.]130]

www-data@[172[.]104[.]6[.]250]

www-data@[139[.]162[.]43[.]238]

www-data@[172[.]104[.]212[.]190]

www-data@[45[.]33[.]30[.]117]

www-data@[45[.]79[.]17[.]145]

www-data@[45[.]79[.]37[.]95]

www-data@[172[.]105[.]222[.]144]

 

Smtp Host

 

li828-67[.]members[.]linode[.]com        [103.3.60.67]

li1842-84[.]members[.]linode[.]com      [172.104.23.84]

li65-6[.]members[.]linode[.]com            [97.107.135.6]

li2008-130[.]members[.]linode[.]com    [172.105.115.130]

li1742-250[.]members[.]linode[.]com    [172.104.6.250]

li1456-238[.]members[.]linode[.]com    [139.162.43.238]

li1922-190[.]members[.]linode[.]com    [172.104.212.190]

li1047-117[.]members[.]linode[.]com    [45.33.30.117]

li1116-145[.]members[.]linode[.]com    [45.79.17.145]

li1136-95[.]members[.]linode[.]com      [45.79.37.95]

li1876-144[.]members[.]linode[.]com    [172.105.222.144]

 

 

Subject:

Informamos que hoy se ha abierto un proceso criminal en su nombre.

 

Archivos

Nombre             :             00PROCESO070083204256129_.zip

MD5                    :             ea917166e0a28f8ce63773e709b6723f

 

Nombre             :             CAENDELH9123243051.msi

MD5                   :             691f542935f7c8ae675c88e4021eef83

 

Nombre             :             p0reXacnelt0.zip

MD5                    :             ad28459e8ce3419b2a83a4923c2288c6

 

Nombre             :             Q2Y9JO0ELC7VXV6G2AVQHECVFFDFJ49IOC

MD5                    :             b0d0e310cf0f1c6adc65057d0217196d

 

Nombre             :             TOB1PM9H0FLX4KVTYQ5ODV4NCYS91H7K963MC

MD5                    :             26d838856d2867ef7d286ed649b55878

 

Nombre             :             JUKEQPXB8ZY54D2CLKJC9VWRZUTMEA37LKKI

MD5                    :             c56b5f0201a3b3de53e561fe76912bfd

 

Recomendaciones

  • Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java y otras)
  • Evaluar el bloqueo preventivo de los indicadores de compromisos
  • Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas
  • Revisar los controles de seguridad de los AntiSpam y SandBoxing
  • Realizar concientización permanente para los usuarios sobre este tipo de amenazas

 

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 2CMV-00038-001