2CMV21-00248-01 CSIRT comparte IoC de múltiples campañas de phishing con malware

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT) comparte una serie de Indicadores de Compromiso (IoC) obtenidos del análisis realizado a múltiples campañas de phishing con archivos adjuntos que contienen malware, los que están circulando en el ciberespacio nacional y representan un riesgo para los sistemas informáticos, así como para los usuarios en general.

CSIRT recomienda a los administradores y usuarios bloquear los hash publicados en este informe, y mantener un permanente monitoreo sobre el resto de los Indicadores de Compromiso.

Observación

Solicitamos tener en consideración las señales de compromiso en su conjunto

IoC hash

Hash SHA-256 de los archivos adjuntos en los correos electrónicos:

HASH Tipo Malware
1 02756fefc515abf4212112a695e53cbc8f4b5f41b0ad7cb89ac2f8ae9f6467dc W32/Injector
2 8d31e522102744c714db644fd0572e337f6a69e72f3c3a4bb0deab211e9a12df W32/Injector
3 6d2bdf46d0def71bfd20c1565c28d456b744ed597ccb661a76912437b7e5718f W32/Injector
4 d784a286f15841718897e2b41ff05138c808e29374b6743b4cff1018306ce19a Malicious_Behavior
5 0214dfe1fb35f770e5228e06ec8ce40b4888aead8b0bd174701cd6c11ab56c34 MSExcel/CVE_2017_11882
6 af19d80d5b368fca57c6fb523707081ae257147e25099acfb1e9b5164a96358d W32/Netsky
7 ec56ce552dc1fa7f917ece126ac825398401ae69bb7a398d668a0dc5ba2aff27 Riskware/POC_Iframe_CID
8 97c75e51be09a805863be9dcd00091d699cb0889b00f4dd2f3ad4c7675f4b0fb Malicious_Behavior
9 c7d1bffffd4d49d89f571e0ffeb0244762997f7225e8c83253a7cfd4671a1e0c PossibleThreat
10 1816f032e9ca7c5a5cc879eb65c90a28f3adf2967d62220ba6d91e430dcd30e8 PossibleThreat
11 e504ea9972d1d846493e010f2da6a2605baac04c019703ee0349d100a7484cfd PossibleThreat
12 727ef4fae330cf2a766efb213409b8c5c890bd519aec84b868ba96f72ad60fa4 PossibleThreat
13 db6ccff08e4e2ddcfbf551356526edf49d781144644d136ff3c85a9d648727cc PossibleThreat
14 cfd5d0741ef7aaeb7c8b77d4880d0fb6284b2bd2ce3b5714a309b5cb9222b0f8 PossibleThreat
15 8decda6f2414fa2d6e20448da0195da436d243a9f26c66d390848d87aa4cac75 Malicious_Behavior
16 ce74a421212ea6db55404fc4a177a3607144bc82ecfb1c671125225e5940bfa7 MSIL/Kryptik
17 0b9db3a994fa26161104fe79a7735b647d59ef603be4a662a565c30c7515282a MSIL/Kryptik
18 2fc085bdecf691e22544ecf82b31882a8918a004c1148840b760c5eb2c00f254 PossibleThreat
19 b04e5861b2a7f6ceb725dcbc23480f5ec1e212bcdc40c1d7bdbf4d8b3a346319 W32/Injector
20 5d99bdb224452fda2c738f2f882fe1c812afac3d98f2c9824ef6d750e9494a46 PossibleThreat
21 c97ed76a6e99343dd526061116e677c0c6a9d589bec7e2f2f177b77e300528bc Malicious_Behavior
22 8a1a33421dff48b00f0a9ce79fefb8213f5dc2827f05577b0cb33e786f51f3dc Malicious_Behavior
23 5319fb9aa658191a80c6054ad80dec70455c01c580b7aba556c23d4b22c3be41 Malware_Generic
24 d11d0082df53e178f0d3970cb4037ad09e2c2b3e39c85c5c9a55444b83ee0f5f Malicious_Behavior
25 f50d8e6b2460a7ffbeab5c0e3eac3062c5c90f6eeb47beda27d582452c86dea2 Malware_Generic
26 66fe8dd2339e12fb3de52730d49d38f4471512c70c6b593b9d3735458a2e9b53 Malicious_Behavior
27 6b0388de71d3779ee4192fb67f7cf338023c3e3a7bf0433ca8e31311f3301a8d Malware_Generic
28 5d99bdb224452fda2c738f2f882fe1c812afac3d98f2c9824ef6d750e9494a46 Malware_Generic
29 ad100dd66a8c7a0af413d82a4babe032c90ba07f03d234feafe0eb39e97987d4 HTML/Agent.BUJ!tr
30 8a1a33421dff48b00f0a9ce79fefb8213f5dc2827f05577b0cb33e786f51f3dc Malware_Generic
31 7ebc7f5a95b0d6723dd769348955a1c71c6df487b59588f55b97604961fcd1ae W32/Malicious_Behavior

IoC nombre de archivo

Nombres de archivos con malware:

Archivo Malware
1 11112021FX.cab
2 29383773738387477474774.arj
3 45678909876543456789.zip
4 Advice Payment Copy.GZ
5 Advice Payment Copy.TAR
6 cotización.pdf.img
7 data2322.zip
8 dKm7EEQynBnEXWy.rar
9 invoice & packing list.rar
10 Invoice and packing list.rar
11 Iz150pqkbOdUArY.zip
12 notificación bancaria SWift.exe.xz
13 OFFER.zip
14 Payment Advice 11.11.2021,pdf.html
15 Payment confirmation(49.600).7z
16 Payment_Advice.zip
17 PO 210411.xlsx
18 PO-101524309.zip
19 PRICE DETAILS.zip
20 Re 22-039 Quotationinstant tent shipment qty.gz
21 remitance advice.r15
22 SHIPPING DOCUMENT & PL.rar
23 Swift Copy.r17

 IoC servidor SMTP

Direcciones IP de servidor SMTP. Se debe tener consideración que podrían aparecer direcciones de Servicios Cloud reconocidos, ya que este apartado informa desde donde salieron los correos electrónicos maliciosos.

IP Etiqueta de sistema autónomo ASN
1 74.208.169.72 IONOS SE AS 8560
2 45.137.22.146 RootLayer Web Services Ltd. AS 51447
3 37.0.11.45 Delis LLC AS 211252
4 23.235.198.62 IMH-IAD AS 54641
5 193.56.29.164 Web Hosted Group Ltd AS 210228
6 185.222.57.202 RootLayer Web Services Ltd. AS 51447
7 173.231.241.38 IMH-IAD AS 54641
8 173.231.241.37 IMH-IAD AS 54641
9 159.223.92.129 DigitalOcean AS 14061
10 159.223.70.69 DigitalOcean AS 14061
11 159.223.56.212 DigitalOcean AS 14061
12 103.195.101.74 Reliablesite AS 23470

 Recomendaciones                                     

  • No abrir correos ni mensajes de dudosa procedencia.
  • Desconfiar de los enlaces y archivos en los mensajes o correo.
  • Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java y otras).
  • Ser escépticos frente ofertas, promociones o premios increíbles que se ofrecen por internet.
  • Prestar atención en los detalles de los mensajes o redes sociales.
  • Evaluar el bloqueo preventivo de los indicadores de compromisos.
  • Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.
  • Revisar los controles de seguridad de los AntiSpam y SandBoxing.
  • Realizar concientización permanente para los usuarios sobre este tipo de amenazas.
  • Visualizar los sitios web que se ingresen sean los oficiales.

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 2CMV21-00248-01

2CMV21-00248-01 CSIRT comparte IoC de múltiples campañas de phishing con malware