2CMV20-00041-01 CSIRT advierte de malware que utiliza nombre de Tesorería

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT), con la colaboración del usuario @JosePablo_PUQ, han identificando una campaña de malware que utiliza el nombre de la Tesorería General de la Republica.

El mensaje del malware, alojado en un sitio fraudulento, informa a la víctima que existen obligaciones tributarias impagas detectados por el SII.

La amenaza se pudo identificar en un sitio web, el cual, al momento de ingresar, automáticamente descarga el archivo ZIP. Al descomprimir el archivo se obtiene otro archivo con extensión ejecutable MSI. Al ser ejecutado se gatilla un script que descarga del malware.

 

Indicadores de compromisos

 Url’s:

http[:]//peronopuestaessa[.]email/trabajo/

http[:]//www[.]fertitec[.]com[.]br/es/look/J0kill3M[.]zod

 

Archivos adjuntos.

Archivo               : C000000002020TGR.zip

MD5                    : ee74abe73e0257ba5240a58e151121b1

 

Archivo               : C000000002020TGR.msi

MD5                    : aba91470ed1dfd8923af22d9a6bc351d

 

Archivo               : ZUH2HW8HNCS6ZWKSPRD2GUFRUVN2X

MD5                    : 8eb00ef9a3c67cdb3de0361cf8067d05

 

Archivo               : FRHVW4N246XYTWI22JF7J3IE0TJFOM2G

MD5                    : 6002b99633116d3d95e3b3398a509138

 

Archivo               : C8423BQH5D13293RASHQQH93GDHD38OU4CK

MD5                    : c56b5f0201a3b3de53e561fe76912bfd

 

Recomendaciones

Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java y otras)

Evaluar el bloqueo preventivo de los indicadores de compromisos

Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas

Revisar los controles de seguridad de los AntiSpam y SandBoxing

Realizar concientización permanente para los usuarios sobre este tipo de amenazas

 

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 2CMV20-00041-01