24 abril, 2020

2CMV20-00060-01 CSIRT informa de malware de por pago de contribuciones

RESUMEN

El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT), informa de una campaña de malware a través de un correo electrónico que utiliza el nombre de la Tesorería General de la Republica.

El atacante busca que las personas descarguen un archivo malicioso en sus dispositivos.

El mensaje, cuya gramática es deficiente,  indica que debido a la información dada en el noticiero del canal público –no especifica un canal de TV-, a partir del 27 de marzo 2020 se habría iniciado la liberación de pago, por concepto de contribuciones, a los pensionados. Posteriormente se menciona que aquellas personas que pagaron a tiempo serían premiadas con un descuento de 70% durante 3 meses.

En el cuerpo del correo se dispone de un enlace para verificar si la persona es beneficiaria de este descuento. Al seleccionar el enlace se produce la descarga de un archivo ZIP, el cual, al ser descomprimido, permite obtener otro archivo con extensión MSI. Cuando se ejecuta, se gatilla un script que inicia la descarga del malware.

INDICADORES DE COMPROMISOS

Servidor Smtp

[40.74.236.169]

[40.117.196.68]

[40.121.87.6]

[157.55.197.38]

[23.96.51.183]

[70.37.78.167]

[40.121.154.254]

[13.90.62.255]

[23.96.11.55]

[157.55.188.92]

[137.117.33.110]

[13.65.147.37]

[23.96.88.50]

[168.62.37.31]

[13.67.185.137]

[40.113.224.59]

[40.78.148.190]

[13.92.32.179]

[23.96.11.55]

[52.173.21.201]

[52.165.43.86]

[40.113.228.88]

[40.113.240.181]

Sender

root@amazonas27.prestamoservicios1[.]com

root@amazonas42.prestamoservicios1[.]com

root@amazonas28.prestamoservicios1[.]com

root@amazonas43.prestamoservicios1[.]com

root@amazonas39.prestamoservicios1[.]com

root@amazonas56.prestamoservicios1[.]com

root@amazonas41.prestamoservicios1[.]com

root@amazonas46.prestamoservicios1[.]com

root@amazonas37.prestamoservicios1[.]com

root@amazonas52.prestamoservicios1[.]com

root@amazonas36.prestamoservicios1[.]com

root@amazonas23.prestamoservicios1[.]com

root@amazonas50.prestamoservicios1[.]com

root@amazonas40.prestamoservicios1[.]com

root@amazonas05.prestamoservicios1[.]com

root@amazonas04.prestamoservicios1[.]com

root@amazonas02.prestamoservicios1[.]com

root@amazonas35.prestamoservicios1[.]com

root@amazonas37.prestamoservicios1[.]com

root@amazonas07.prestamoservicios1[.]com

root@amazonas09.prestamoservicios1[.]com

root@amazonas14.prestamoservicios1[.]com

root@amazonas15.prestamoservicios1[.]com

Asunto

Estimado(a) Contribuyente-TGR

Url’s

https[:]//www.fidelityresales[.]com/includes/database/000901902781123/

http[:]//52.228.62[.]180/09010929090/00099009199288[.]oilk

Hash SHA256

Archivo: kukarha1kg66335hq0uxy9jsj3aupe1y6i

Sha256: 1cd14aab06a8147c24a3f405ff8379eb919675492808bae9310a66d47a97ab0e

Archivo: s8zlusn9552dibvyky6lbffe29pl4ljf

Sha256: 306abf95ebd1553447602a690fc140b31afc4a7510292437b7179d6526f757d6

Archivo: u4n04m6losvz70iyz6mgsg56h74k2n48n0

Sha256: 237d1bca6e056df5bb16a1216a434634109478f882d3b1d58344c801d184f95d

Archivo: 00099009199288.oilk

Sha256: 8b2959fd51a35949f0147a5d8d5c45723828012bf1cf3531a0cded3fe714239b

Archvio: 000901097826578124.msi

Sha256: 72ee225fe30bf767aef0551d2f38a596e407bd14bb6a60c3b0b2ff4b52bbdefb

Name: cl0099102_284726.zip

Sha256: eaae5a56853c36a2ba9a86cc39f0a7c271164e9e9b762b79da4ae98a4f53264f

RECOMENDACIONES

  • No abrir correos ni mensajes de dudosa procedencia.
  • Desconfiar de los enlaces y archivos en los mensajes o correo.
  • Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java y otras).
  • Ser escépticos frente ofertas, promociones o premios increíbles que se ofrecen por internet
  • Prestar atención en los detalles de los mensajes o redes sociales
  • Evaluar el bloqueo preventivo de los indicadores de compromisos.
  • Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.
  • Revisar los controles de seguridad de los AntiSpam y SandBoxing.
  • Realizar concientización permanente para los usuarios sobre este tipo de amenazas.
  • Visualizar los sitios web que se ingresen sean los oficiales.

INFORME

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 2CMV20-00060-01