Contáctanos al
1510
Resumen
El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT) del Gobierno de Chile, ha identificado una campaña de malware supuestamente proveniente de DocuSign. El atacante busca persuadir a las víctimas de descargar el archivo adjunto, y así hacer que este sea ejecutado.
El mensaje del correo indica que tiene una factura creada automáticamente y los enlaces que se adjuntan en el correo son seguros. El atacante adjunta un vínculo que al ser seleccionado dirige a Google Docs, descargando un archivo malicioso que al ser ejecutado gatilla la infección del equipo.
Observación
Solicitamos tener en consideración las señales de compromiso en su conjunto.
IoC Correo Electrónico
Datos del encabezado del correo
Servidorres SMTP
14.136.212.57
98.189.198.251
Correos Electrónicos
docusign@snowequipmentdealer.com
Asunto
You received invoice from DocuSign Signature Service
IoC Archivo Adjunto
Archivos que se encuentran en la amenaza
Nombre : Attachment_777506.xlsb
SHA256 : 859DDD9B0A93AB88C58C9B767A5533A9B5477DDE42456F2C946EA5D06072FB0
IoC Comunicación de Red
URL
https://docs.google[.]com/document/d/e/2PACX-1vTRfmiIzyejEqPo5frVZ7eap5rlvzNxNIqVkqQmXFjo_jNjR4AUGYumDyoDzd2nPiPyMlIxOkllJByz/pub
https://www.google[.]com/url?q=https://webworks.nepila.com/nativity.php&sa=D&source=editors&ust=1614882417591000&usg=AOvVaw2ha9IoL7dSV9diEc38GtZY
https://webworks.nepila[.]com/nativity.php
Recomendaciones
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 2CMV21-00151-01