2CMV20-00057-01 CSIRT advierte de malware que suplanta a cía. de software

RESUMEN

El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT), ha identificado una campaña de malware a través de un correo electrónico que utiliza el nombre de la compañía de Defontana. El mensaje del correo indica que fue generado por la emisión de una factura electrónica. En el cuerpo del correo se dispone de un enlace para la descarga de dicha factura, pero al seleccionar el enlace es dirigido a la descarga de un archivo ZIP, el cual contiene un archivo Html que, al ser ejecutado, direcciona a otro sitio descargando de forma automática otro archivo ZIP, el cual al ser descomprimido, permite obtener otro archivo con extensión MSI. Al ser ejecutado, se gatilla un script y se procede a la descarga del malware.

INDICADORES DE COMPROMISOS

Servidor Smtp

[52.228.69.44]

[52.228.64.110]

[52.228.66.239]

[52.228.65.107]

[52.228.57.93]

[13.88.226.51]

[52.228.57.155]

[52.228.23.114]

[52.228.57.234]

[13.88.235.183]

Sender

root@alphafox17[.]borawebservicioscl1[.]com

root@alphafox35[.]borawebservicioscl1[.]com

root@alphafox36[.]borawebservicioscl1[.]com

root@alphafox51[.]borawebservicioscl1[.]com

root@alphafox04[.]borawebservicioscl1[.]com

root@alphafox21[.]borawebservicioscl1[.]com

root@alphafox55[.]borawebservicioscl1[.]com

root@alphafox51[.]borawebservicioscl1[.]com

root@alphafox43[.]borawebservicioscl1[.]com

Asunto

Chilexpress – Tenemos un pedido en nuestro deposito en su nombre

Url’s

https[:]//deportes[.]ulpgc[.]es/misc/–/https[:]/www[.]defontana[.]com/cl/?cliente=

https[:]//www[.]ctc[.]com[.]sg/travelclub/sites/acessos/0019203/

Hash MD5

c00f05300eab399ac2ac6a448714aae5

f54c6fa901539fc160b1a7d2e35e3243

0cf3090dd6de2f23bf520f7fea43389c

c9e5ddc25b5651363a41fb89d94aa3d3

RECOMENDACIONES

  • Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java y otras).
  • Evaluar el bloqueo preventivo de los indicadores de compromisos.
  • Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.
  • Revisar los controles de seguridad de los AntiSpam y SandBoxing.
  • Realizar concientización permanente para los usuarios sobre este tipo de amenazas.

INFORME

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 2CMV20-00057-01