2CMV21-00190-01 CSIRT alerta por campaña de phishing con malware a través de falsa factura

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática del Gobierno de Chile (CSIRT de Gobierno), ha identificado una nueva campaña de malware, a través de la cual el atacante busca persuadir a las personas que reciben sus correos electrónicos para que descarguen un archivo adjunto y que este sea ejecutado.

El mensaje del correo indica que el receptor debe consultar el número de pedido de una supuesta compra, y que si se encuentra todo en orden debe enviar la respectiva factura para el pago. El atacante adjunta un archivo con extensión .XLS, que al ser ejecutado gatilla la infección del equipo.

Observación             

Solicitamos tener en consideración las señales de compromiso en su conjunto.

IoC Correo Electrónico

Datos del encabezado del correo

Servidores SMTP

[46.101.125.230]

Asunto

Orden de compra

IoC Archivo Adjunto

Archivos que se encuentran en la amenaza (MSOffice/Agent)

Nombre               : IMG_15_60_103_681 (1).xlsx

SHA256               : 993403c2a403b7ac63751a627663cb897b88a1cc730e594437cbcacbbc20bf1f

Nombre               : Cos5eApp13.exe

SHA256               : 790484C22FA0900159FCEA453DEDD48B9FD3CF53C72A2B538B55C0607D3E3A58

IoC URL

http://198.98.60.43/Ji8/Cos5eApp13[.]exe

https://freegeoip[.]app

Recomendaciones

  • No abrir correos ni mensajes de dudosa procedencia.
  • Desconfiar de los enlaces y archivos en los mensajes o correo.
  • Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java y otras).
  • Ser escépticos frente ofertas, promociones o premios increíbles que se ofrecen por internet.
  • Prestar atención en los detalles de los mensajes o redes sociales.
  • Evaluar el bloqueo preventivo de los indicadores de compromisos.
  • Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.
  • Revisar los controles de seguridad de los AntiSpam y SandBoxing.
  • Realizar concientización permanente para los usuarios sobre este tipo de amenazas.
  • Visualizar los sitios web que se ingresen sean los oficiales.

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 2CMV21-00190-01

2CMV21-00190-01 CSIRT alerta por campaña de phishing con malware a través de falsa factura