27 marzo, 2020

2CMV20-00058-01 CSIRT advierte de malware por emisión de factura electrónica

RESUMEN

El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT), ha identificado una campaña de malware a través de un correo electrónico que utiliza el nombre de la compañía de Defontana. El mensaje del correo indica que fue generado por la emisión de una factura electrónica. En el cuerpo del correo se dispone de un enlace para la descarga de dicha factura, pero al seleccionar el enlace se produce la descarga de un archivo ZIP, el cual contiene un archivo Html que, al ser ejecutado, direcciona a otro sitio descargando de forma automática otro archivo ZIP, el cual al ser descomprimido, permite obtener otro archivo con extensión MSI. Al ser ejecutado, se gatilla un script y se procede a la descarga del malware.

INDICADORES DE COMPROMISOS

Servidor Smtp

[52.228.6.135]

[52.228.6.20]

[52.237.26.19]

[40.85.221.114]

[52.237.21.163]

[40.85.221.114]

[52.228.62.218]

[52.228.57.36]

[52.228.66.225]

[52.138.3.185]

[52.237.22.124]

[13.71.161.201]

[52.228.8.146]

[52.228.1.91]

[40.85.221.25]

[52.237.38.187]

[40.85.224.148]

[52.233.58.203]

[13.88.232.216]

[13.88.245.181]

Sender

root@altamax63.borawebservicioscl1[.]com

root@altamax59.borawebservicioscl1[.]com

root@altamax36.borawebservicioscl1[.]com

root@altamax10.borawebservicioscl1[.]com

root@altamax77.borawebservicioscl1[.]com

root@altamax10.borawebservicioscl1[.]com

root@altamax43.borawebservicioscl1[.]com

root@altamax14.borawebservicioscl1[.]com

root@altamax20.borawebservicioscl1[.]com

root@altamax89.borawebservicioscl1[.]com

root@altamax72.borawebservicioscl1[.]com

root@altamax45.borawebservicioscl1[.]com

root@altamax65.borawebservicioscl1[.]com

root@altamax25.borawebservicioscl1[.]com

root@altamax98.borawebservicioscl1[.]com

root@altamax37.borawebservicioscl1[.]com

root@altamax57.borawebservicioscl1[.]com

root@altamax75.borawebservicioscl1[.]com

root@altamax84.borawebservicioscl1[.]com

root@altamax21.borawebservicioscl1[.]com

 

Asunto

FW: Notificacion Giro Folio

Url’s

http://www.binsbyrafat[.]com/wp-content/plugins

http://cancunbayresort[.]net/wp-content/plugins

http://e-daco[.]kr/wp-content/themes/twentysixteen/template-parts/acessos/001929031/

http://180.180.123[.]9/amssplus/export/0452414101/014290419.opi

Hash MD5

c00f05300eab399ac2ac6a448714aae5

f54c6fa901539fc160b1a7d2e35e3243

0cf3090dd6de2f23bf520f7fea43389c

c9e5ddc25b5651363a41fb89d94aa3d3

7575846bd2854bd2950b0f5332b6f09b

887397ee476550f5d6dedf1a9ba86716

dd5693a827f6d97f72817b8cc97bb027

c56b5f0201a3b3de53e561fe76912bfd

5c88e76c0f428d14a621c8bf03e4dc6a

e94330eee1cdb396fd0e3d06fca38dfc

RECOMENDACIONES

  • Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java y otras).
  • Evaluar el bloqueo preventivo de los indicadores de compromisos.
  • Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.
  • Revisar los controles de seguridad de los AntiSpam y SandBoxing.
  • Realizar concientización permanente para los usuarios sobre este tipo de amenazas.

INFORME

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 2CMV20-00058-01