2CMV20-00055-01 CSIRT identificó malware de un supuesto pedido en el correo

RESUMEN

El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT), ha identificado una campaña de malware a través de un correo electrónico que cuyo supuesto remitente sería la compañía de Courier Chilexpress.

El mensaje del correo indica que tienen en sus depósitos un pedido a nombre del receptor del correo. El atacante dispone de un código y un enlace para que la persona pueda obtener más información sobre el envío. Al seleccionar el enlace la persona es dirigida a un sitio donde se descarga un archivo ZIP, el cual contiene un archivo Html que al ser ejecutado direcciona a otro sitio donde se descarga de forma automática otro archivo ZIP. Este, una vez que es descomprimido, permite obtener otro archivo con extensión MSI. Al ser ejecutado, se gatilla un script y se procede a la descarga el malware.

INDICADORES DE COMPROMISO

Servidor Smtp

www01[.]subtraverse[.]intra [138.229.82.138]

Sender

apache@www01[.]subtraverse[.]intra

Asunto

Chilexpress - Tenemos un pedido en nuestro deposito en su nombre

Url’s

http://voxpopuli[.]com[.]ar/site/wp-includes/customize/--/https[:]/www[.]chilexpress[.]cl/?cliente=

http://104[.]41[.]36[.]91/0091024871289/0009201940192[.]ogg

Hash MD5

6cc06e2f71aaf392fb12da494c8294d4

c00f05300eab399ac2ac6a448714aae5

f54c6fa901539fc160b1a7d2e35e3243

RECOMENDACIONES

• Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java y otras).
• Evaluar el bloqueo preventivo de los indicadores de compromisos.
• Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.
• Revisar los controles de seguridad de los AntiSpam y SandBoxing.
• Realizar concientización permanente para los usuarios sobre este tipo de amenazas.

INFORME

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 2CMV20-00055-01