Contáctanos al
1510
RESUMEN
El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT), ha identificado una campaña de malware a través de un correo electrónico que utiliza el nombre de la compañía de Defontana. El mensaje del correo indica que fue generado por la emisión de una factura electrónica. En el cuerpo del correo se dispone de un enlace para la descarga de dicha factura, pero al seleccionar el enlace se produce la descarga de un archivo ZIP, el cual contiene un archivo Html que, al ser ejecutado, direcciona a otro sitio descargando de forma automática otro archivo ZIP, el cual al ser descomprimido, permite obtener otro archivo con extensión MSI. Al ser ejecutado, se gatilla un script y se procede a la descarga del malware.
INDICADORES DE COMPROMISOS
Servidor Smtp
[52.228.6.135]
[52.228.6.20]
[52.237.26.19]
[40.85.221.114]
[52.237.21.163]
[40.85.221.114]
[52.228.62.218]
[52.228.57.36]
[52.228.66.225]
[52.138.3.185]
[52.237.22.124]
[13.71.161.201]
[52.228.8.146]
[52.228.1.91]
[40.85.221.25]
[52.237.38.187]
[40.85.224.148]
[52.233.58.203]
[13.88.232.216]
[13.88.245.181]
Sender
root@altamax63.borawebservicioscl1[.]com
root@altamax59.borawebservicioscl1[.]com
root@altamax36.borawebservicioscl1[.]com
root@altamax10.borawebservicioscl1[.]com
root@altamax77.borawebservicioscl1[.]com
root@altamax10.borawebservicioscl1[.]com
root@altamax43.borawebservicioscl1[.]com
root@altamax14.borawebservicioscl1[.]com
root@altamax20.borawebservicioscl1[.]com
root@altamax89.borawebservicioscl1[.]com
root@altamax72.borawebservicioscl1[.]com
root@altamax45.borawebservicioscl1[.]com
root@altamax65.borawebservicioscl1[.]com
root@altamax25.borawebservicioscl1[.]com
root@altamax98.borawebservicioscl1[.]com
root@altamax37.borawebservicioscl1[.]com
root@altamax57.borawebservicioscl1[.]com
root@altamax75.borawebservicioscl1[.]com
root@altamax84.borawebservicioscl1[.]com
root@altamax21.borawebservicioscl1[.]com
Asunto
FW: Notificacion Giro Folio
Url’s
http://www.binsbyrafat[.]com/wp-content/plugins
http://cancunbayresort[.]net/wp-content/plugins
http://e-daco[.]kr/wp-content/themes/twentysixteen/template-parts/acessos/001929031/
http://180.180.123[.]9/amssplus/export/0452414101/014290419.opi
Hash MD5
c00f05300eab399ac2ac6a448714aae5
f54c6fa901539fc160b1a7d2e35e3243
0cf3090dd6de2f23bf520f7fea43389c
c9e5ddc25b5651363a41fb89d94aa3d3
7575846bd2854bd2950b0f5332b6f09b
887397ee476550f5d6dedf1a9ba86716
dd5693a827f6d97f72817b8cc97bb027
c56b5f0201a3b3de53e561fe76912bfd
5c88e76c0f428d14a621c8bf03e4dc6a
e94330eee1cdb396fd0e3d06fca38dfc
RECOMENDACIONES
INFORME
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 2CMV20-00058-01