2CMV20-00107-01 CSIRT comparte IoC de campañas de phishing con malware

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT), comparte una serie de Indicadores de Compromiso (IoC) obtenidos del análisis realizado a múltiples campañas de phishing con archivos adjuntos que contienen malware, los que están circulando en el ciberespacio nacional y representan un riesgo para los sistemas informáticos, así como para los usuarios en general.

CSIRT recomienda a los administradores y usuarios bloquear los hash publicados en este informe, y mantener un permanente monitoreo sobre el resto de los Indicadores de Compromiso.

Observación

Solicitamos tener en consideración las señales de compromiso en su conjunto.

IoC hash

Hash SHA-256
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IoC nombre de archivo

Nombres de Archivos con Malware

NEUMAMUNDO_CONTRATO AFILIACION TBK NOV17.IMG
Awele.uue
QRN-CLJC-06112020149.PDF.zip
PaymentConfirmation2020.zip
Draft BL copy.7z
Carta de Pago-Pdf.iso
ssdrlvz-pdf.html
#INQUIRY-ORDER-MYN-24267.zip
RFQ FOB & CFR BASES (PO#46-3039 NOVEMBER).gz
MV MIREILLE SELMER.doc
cPanel -Cancel Removal.html
cpanel -Add more inodes.html
OA PP040963RG02.7z
ASR1117.gz
mrecart@hacienda.gov.cl.html
message14816.pif
thernandz@hacienda.gov.cl.html
RFQ PT-7192502 (Hellister.co.uk).gz
d13eu6.jpg
INQUIRY.zip
ORDER 34936.gz
RFQ-274489.html
spd-comunicaciones@interior.gov.cl.html
PO_474_617_cskan858_1605525201249_73R6200099525.pdf.zip

IoC servidor smtp

Direcciones IP del servidor Smtp de donde fue enviado el correo

155.94.136.228
139.59.255.39
188.119.148.113
23.101.174.3
202.63.244.174
40.107.74.80
23.81.246.242
88.218.16.126
37.228.184.136
104.255.168.181
37.49.225.107
103.109.37.72
179.43.176.193
176.123.7.141
80.65.91.214
133.130.121.44
156.96.156.212

IoC Correo Electrónico

Correo electrónico de donde fue enviado

jw61@rnd.re.kr
rasheeddada234@gmail.com
customer@dhI.com
dhiraj.gupta@batas.com
DEAOLIVEIRA@voegol.com.br
wgajelonia@cdmlight.com
info@armatorshipping.com
accounts@cpanel.net
shenwei@sva-int.com
jvgeest@introcare.nl
admin@getemails.site
atg@encomix.es
a-m.stalder@abcdata.com.pl
chouchne0613@gmail.com
zakupy@breve.pl
studenti@unbi.ba
admin@jetmails.fun
renz@rise.qa

Recomendaciones                                                         

  • No abrir correos ni mensajes de dudosa procedencia.
  • Desconfiar de los enlaces y archivos en los mensajes o correo.
  • Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java y otras).
  • Ser escépticos frente ofertas, promociones o premios increíbles que se ofrecen por internet.
  • Prestar atención en los detalles de los mensajes o redes sociales.
  • Evaluar el bloqueo preventivo de los indicadores de compromisos.
  • Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.
  • Revisar los controles de seguridad de los AntiSpam y SandBoxing.
  • Realizar concientización permanente para los usuarios sobre este tipo de amenazas.
  • Visualizar los sitios web que se ingresen sean los oficiales.

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 2CMV20-00107-01

2CMV20-00107-01 CSIRT comparte IoC de campañas de phishing con malware