2CMV21-00147-01 CSIRT advierte malware con supuesto registro para vacuna Covid-19

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT), ha identificado una campaña de malware supuestamente proveniente del Ministerio de Salud de Chile.

El atacante busca persuadir a las personas para descargar el archivo adjunto y ser ejecutado.

El mensaje del correo indica que se inició el registro de vacuna Covid-19 y se encuentra disponible para todas las fases mencionadas registrándose.

El atacante adjunta un vínculo para ser seleccionado y de esa forma descargar un archivo malicioso que al ser ejecutado gatilla la infección del equipo.

Observación

Solicitamos tener en consideración las señales de compromiso en su conjunto.

IoC Correo Electrónico

Datos del encabezado del correo

Servidores Smtp

Correos Electrónicos

Asunto

Notificación - Registro de vacunación contra covid-19

IoC Archivo Adjunto

Archivos que se encontraban adjunto en el correo

Nombre              : Registro_ID9937003405A4B88.zip

SHA256               : 675C846849A0A3B373A3C98FF5C2143F6AB87CEF1A0008C5D30383C5CDC3107E

Nombre              : Registro_ID9937003405A4B88.msi

SHA256               : C9598E8F45BBD36F6CD8B24499BD96DF599BF499A77F4195C1FF3D7D3EAE8212

Nombre              : C0214V5S7RSA00B8.zip

SHA256               : 0020DB7D3AC1F10CEAC645C12557F0A78472A7DCEE2D7980E911A4AE3350E1C4

Nombre              : JCTHPNEBWK.dll

SHA256               : F695B8B7B0AB2FA84DF2903F70F7EFB397F1A03ED09DAF634521A8D5D9D52CE4

JDEDCU4PLA4ISGJB820RFSFO38M64TFEA0GXQ :

727283D668C8FF7E68AF43FC23AC8A20D4DC30917EC61158C6BFF75DE9FAFF5B

MSR11D7ZWJY3ZSJ3HAR9KSGJ7GF0N    :

3CF21F31C5281600CA70D4C87F4F829F0011C6740084D26C3665D2729B092DA2

IoC Comunicación de Red

URL

https[:]//selfhelpwomendevelopment[.]com/wp-includes/images/webmail/registro[.]php

http[:]//www.aralimp.com[.]br/wp-includes/assets/download/Registro_ID9937003405A4B88[.]zip

https[:]//eventosespacofenix.com[.]br//wp-includes/Requests/Utility/C0214V5S7RSA00B8[.]zip

Recomendaciones

• No abrir correos ni mensajes de dudosa procedencia.
• Desconfiar de los enlaces y archivos en los mensajes o correo.
• Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java y otras).
• Ser escépticos frente ofertas, promociones o premios increíbles que se ofrecen por internet.
• Prestar atención en los detalles de los mensajes o redes sociales.
• Evaluar el bloqueo preventivo de los indicadores de compromisos.
• Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.
• Revisar los controles de seguridad de los AntiSpam y SandBoxing.
• Realizar concientización permanente para los usuarios sobre este tipo de amenazas.
• Visualizar los sitios web que se ingresen sean los oficiales.

 Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 2CMV21-00147-01