2CMV20-00056-01 CSIRT advierte de malware por pago de servicios

RESUMEN

El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT), ha identificado una campaña de malware a través de un correo electrónico indicando el pago de algún tipo de servicio.

El mensaje del correo indica que se realizó una transferencia electrónica de fondos en la cuenta de quien recibe el correo. El atacante dispone un enlace en el cuerpo del correo, el que supuestamente permite descargar el comprobante del pago. Si una persona selecciona el enlace es dirigido a un sitio donde se descarga un archivo ZIP, la cual contiene un archivo MSI el cual, al ser ejecutado, gatilla un script que inicia la descarga el malware.

INDICADORES DE COMPROMISO

Servidor Smtp

[52.173.35.129]

[40.71.186.239]

[40.117.134.18]

[52.173.34.112]

[52.165.183.166]

[52.186.84.69]

[104.43.218.174]

[52.224.167.111]

[52.224.167.105]

[52.224.167.73]

[40.117.134.18]

Sender

root@boby33[.]borawebservicioscl[.]com

root@boby38[.]borawebservicioscl[.]com

root@boby36[.]borawebservicioscl[.]com

root@boby40[.]borawebservicioscl[.]com

root@boby16[.]borawebservicioscl[.]com

root@boby20[.]borawebservicioscl[.]com

root@boby25[.]borawebservicioscl[.]com

root@boby23[.]borawebservicioscl[.]com

root@boby06[.]borawebservicioscl[.]com

Asunto

envio de comprobante – TEF

Url’s

http[:]//www[.]lilioui[.]com[.]br/heart/9418948910/230320/comprobante[.]php

http[:]//hearingable[.]com//wp-content/00078144/998894414541/index[.]php

http[:]//sahakorn[.]dusit[.]ac[.]th

172.217.9[.]206

202.29.83[.]151

Hash MD5

f652d8e718ffe071c3d39a13cff1803c

4bdb0590d6d666171801a87844b068af

RECOMENDACIONES

  • Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java y otras).
  • Evaluar el bloqueo preventivo de los indicadores de compromisos.
  • Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.
  • Revisar los controles de seguridad de los AntiSpam y SandBoxing.
  • Realizar concientización permanente para los usuarios sobre este tipo de amenazas.

INFORME

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 2CMV20-00056-01