2CMV20-00046-01 CSIRT advierte de malware por liquidación tributaria impaga

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT), ha identificado una campaña de malware a través de un correo electrónico que utiliza el nombre de la Tesorería General de la República.

El mensaje del correo indica que existen obligaciones producto de una liquidación tributaria que se encuentra impaga.

En el mensaje se agrega un enlace a través del cual se descarga un archivo ZIP. Una vez que se descomprime el archivo, se obtiene otro archivo con extensión ejecutable MSI. Al ser ejecutado, se realiza un proceso falso de instalación, pero en realidad se gatilla un script que descarga el malware.

 

Indicadores de compromisos

 Servidor Smtp

[45.90.57.38]

[45.90.57.42]

[45.90.57.41]

 

Sender

root@per.com

root@ver.com

 

Asunto

Segundo Aviso (TGR) 2020

 

Url’s:

https[:]//fastupload[.]co/3834

https[:]//fastupload[.]co/down/3834/TVRrd0xqSXhOUzR6Tmk0NU13PT0=

www[.]paunocudoreport[.]com/service/LCE4YCLAP4ZXJ55[.]php

lifedeltalagoon[.]eu/proyectos/setentaetres[.]ire

 

Archivos adjuntos.

Archivo               : VV-TGR02020.zip

MD5                    : a1c29a91fae15f38eed5b4ad53472660

 

Archivo               : VV-TGR02020.msi

MD5                    : e85b595247cc5e54cce968f2b0e1b55e

 

Archivo               : setentaetres.ire

MD5                    : 600b669c1cbfc5abceb6874d6965dbc3

 

Archivo               : OOKX5JYDX5KREW3CRSOWBELAOOXPMPIYL1LB

MD5                    : 84bdcb85ccc185bfe9a0daace0661e6e

 

Archivo               : WI54E4FRMSJKF04EM76ORU5ZWH07293KKKXF0L

MD5                    : c56b5f0201a3b3de53e561fe76912bfd

 

Archivo               : YVXL5RLUKW2VIC78R22H2UAGII4YPCKWE48

MD5                    : 84904f89b3a057f54f4ce553c84a5c28

Recomendaciones

  • Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java y otras)
  • Evaluar el bloqueo preventivo de los indicadores de compromisos
  • Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas
  • Revisar los controles de seguridad de los AntiSpam y SandBoxing
  • Realizar concientización permanente para los usuarios sobre este tipo de amenazas

 

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 2CMV20-00046-01