Contáctanos al
1510
Resumen
El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT), ha identificado una nueva campaña de phishing con malware. En esta ocasión, el atacante busca persuadir a las personas a descargar un archivo adjunto y así ser ejecutado en el equipo, donde gatillará la infección del malware. El mensaje del correo informa que se realizó la transferencia bancaria, esperada supuestamente el día de hoy, para la cual se adjunta el comprobante de pago.
Observación
Solicitamos tener en consideración las señales de compromiso en su conjunto.
IoC Correo Electrónico
Datos del encabezado del correo
Correo electrónico
yve.mon@turtlestocks[.]com
Servidor de Correo
[2.56.59.240]
Asunto
VENTAS – GERENCIA
IoC Archivo
Archivos que se encuentran en la amenaza
Nombre : transferencia de pago.zip
SHA256 : 468C6FCC488DEE40E26EB222747F36854FBE9E58FA138CDF9B923FC2355B7CA8
Nombre : Curriculum Vitae.exe
SHA256 : 90BB4ACF70C8626F3CE6A9630437883BBFC62AE8AD344B673A8F005CE9D2AC30
Nombre : xmap.dll
SHA256 : 802C858F8EAE004082DA8F3F25B53DA7B0401F46912AD00E6E14DC6FF8E606A5
Nombre : uaen4rygj5p9
SHA256 : 0BD094D1EE19A3B2B9B17CF89BF11D5A440C28215B9BF5665CD8AF353285EDFC
IoC Red
https://www.theonionrouter[.]com/dist.torproject.org/torbrowser/9.5.3/tor-win32-0.4.3.6.zip
http://www.zhhwl[.]com/
http://v.juhe[.]cn/sms/send
http://api.weimi[.]cc/2/account/balance.html
Recomendaciones
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 2CMV21-00237-01