2CMV21-00251-01 CSIRT alerta sobre nuevas campañas de phishing con malware y comparte IoC para su bloqueo

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT de Gobierno) comparte una serie de Indicadores de Compromiso (IoC) obtenidos del análisis realizado a múltiples campañas de phishing con archivos adjuntos que contienen malware, los que están circulando en el ciberespacio nacional y representan un riesgo para los sistemas informáticos, así como para los usuarios en general.

El CSIRT de Gobierno recomienda a los administradores y usuarios bloquear los hash publicados en este informe, y mantener un permanente monitoreo sobre el resto de los Indicadores de Compromiso.

Observación

Solicitamos tener en consideración las señales de compromiso en su conjunto.

IoC hash

Hash SHA-256 de los archivos adjuntos en los correos electrónicos:

HASH Tipo Malware
1 ef22b70669f68fe71d55454f1f94c11fea049c1e2122f1dd25138701151ec2ce PossibleThreat
2 ed5f1ca94b4152167309005e07b34a79e0d9d6df7516d4e95e99942b3e9267b6 HTML/FPhishing
3 ecb90b01f5fd1a562da3cf732c5e3da673e2af50e0186a781f4c5507c9672cd7 MSIL/FRazy
4 e93fb600997f7665cf6b7665e7e7352dc1b55e2c0f79e9db68fe6e9b4ed354a4 W32/FEQPP/1tr»
5 d3cdf89cf7b7e951833872e37b9530717a444f419b35b3fc67d7d66a4bacf612 RTF/FCVE_2017_11882
6 d3ab411f69aa8200d563361e6827012bd6c32fa29e9efbf5a4d6d9ce32d9d42a MSOffice/FScam
7 c9a7519cbdf4ef199add00004c3c55316799abc816b129ee2532dfd78d6bacfd MSIL/FKryptik
8 c842bbd154dd0e75559c9aa451887a125e03f6d3f224c047d81cfc8a08fde7af MSOffice/FCVE_2017_11882
9 c6f50bb053b2b8364be0e4874f494b8f8ac9e55d6df610e972db619a1f35bca7 PossibleThreat
10 c38b2a3a9498e69a4c2a77801b251a90363d4cc98de9f0c72220033a7bb4e2c6 HTML/FPhishing
11 c054d576bd0cbb6dde7a140a82f1f50dd0302b8f303c038ecb2f2e491f62e114 MSOffice/FCVE_2017_11882
12 b8b7f22de66267a613139041f6f79c94c5a1d6167b3cd75b472ad1aebd5b009a MSIL/FKryptik
13 b165eb6698c86f8ec711dc6c6a0250996430d2f1daaf52eedf21bfb6d7814b38 Malicious_Behavior
14 acddb11ffbfd3a9b1d45e1948897d40bb1d518fafd4aae21ae765c7f0894765e HTML/FPhishing
15 ab4879ab5cbb1e4929b32a34ea2c8be7276d587686ee0c49541fb0bbc51dde57 HTML/FPhish
16 a93b818c69c9e1bc47fe8c881753ab9e3bb07ee36502fff22af11ded124f9f55 MSIL/FKryptik
17 9f83e0d42414e2b372d08ec7f1ef0f46d445ba2bb738578fed80326ab46dcba3 MSIL/FKryptik
18 99e3c932ab16020fca8500b72845da601aae12270fad2887f91b6fcc59c26285 MSIL/FKryptik
19 948a6d826607731ce843a34ab2589e86c0b3b5ed74d68b3156c1e83267867817 HTML/FPhishing
20 945e083a833f9496fd9de3bb6739f2ed82609a6a478300b55afb80774fbc8c9c HTML/FPhishing
21 935df8e4a329b9c33d977a8a54f9f38a25911978fed7f593103b33bf981d364c MSIL/FInjector
22 8e207089d7f89efba0159ec93a83bdc49d5565f8b8a2dcf980897cd95ee31363 MSOffice/FAgent
23 8d6dc9cddc15e1c8cc9f47246c5d809c12c2db12ed921437405a9a7e274569ed HTML/FMalphish
24 7829992ef0a0f7ccf3b80fc92660a5d4dc80e875513b239f2585279101b1414e HTML/FAgent
25 761945b913c6d8b2186baa6a6ca3635492c74dc51d2e9fee347cd3cfe6868879 MSOffice/FCVE_2017_11882
26 7286e945d6db691e71e17a9f123b544ea2b951cb9b02b2119faf090d44f9ad66 MSIL/FKryptik
27 6fccd94dd4ee0c639a795125b4792fe693f323e3ccef86680169a46dafa4b092 MSIL/FKryptik
28 6e7236b8c73931b8ff88f949fd8d772c03640f5e7ef9151b793ed12c9cb567f3 MSIL/FKryptik
29 634c98332c17b0d3c6b6ba8249d4189310f8ec19a60bf612481b00293a8f4197 MSIL/FKryptik
30 60b65b20b9eaa152afab4aaff027271d76ab4ceb65df6bee502be07a23627f2d HTML/FPhishing
31 5e1045f6d57797cf2fc12417ae45f4440a61d2f8a9851f8087b251f1773195b7 MSIL/FKryptik
32 54c0f4c5ed2e56def68d06b036bd1eacb138c536f7a1ef61d9ce7260304ae65d Malware_Generic
33 53013780b7d60d96b0ab9aebe155a9f7fcd21e05fb8e4e27c48ce878ec2bdcd3 MSIL/FKryptik
34 3fdbf9221ced7fdd525563d367c0d6b88695f79c99f9f3a931264f5775139e70 HTML/FPhishing
35 3df85a94a8cfd23cb535e158311c5f7e82c5636eadab1b01d072881f7dcda7d3 Malicious_Behavior
36 31122c5f30e28c40a1a1feeaaa1061ac8da82b94ee267407f96ad427dd464edd MSIL/FKryptik

 

HASH Tipo Malware
37 2c895d6478e23de14636e43a3ea4dd3a0a0482f97ac08e31f7ef3b8c3b051a38 HTML/FMalphish
38 2b876350bd686039b76edfe44b51b1bbbd86c83d22a486adb87da8161e481c1f MSIL/FKryptik
39 297dc3ab02bc9bc07f8b68a78e1da63294690d02dc472b7b9fcf2c91973304e2 MSIL/FKryptik
40 1ad73e5100de22210b26641bfd56bf87f62a08633009cd6206b0deae7f61ae1d HTML/FAgent
41 05ebb5884e37bc96f7ba5b6193dee22c62ee3d505e9904af2b2a960ea6f7e4f5 MSIL/FKryptik

 

 

IoC nombre de archivo

 

Nombres de archivos con código malicioso:

 

Archivo Malware
1 Euro invoice.zip
2 Contrat SAISS ENVIRONNEMENT.xlsx
3 QUOTATION REQUEST DOCUMENTS – GOTO TRADING.7z
4 2021-24.doc
5 Proforma Invoice 11252021PDF.7Z
6 TRANFER SLIP.zip
7 New AirWayBill.html
8 invoice copy.pdf.z
9 Official Order PDF.7Z
10 465678CN.xlsx
11 LinkedIn.html
12 invoice and packing.zip
13 REVISED_Document_NEW_PROJECT-02826626212.iso
14 Factura proforma para pagos en el extranjero.Html
15 Pago completo.pdf_______________________________.gz
16 Initial Quotation PDF.7Z
17 AWB 281715447283 PDF.7Z
18 PO Approved.xlsx
19 SC-10745.7z.zip
20 IMPORTS INVOICE.rar
21 New Purchase Order 0088870.xlsx.gz
22 documentos de envo.zip
23 PO 675123 y envo de dibujo aprobado.CAB
24 PO-BL00046749.iso
25 ORDER INQUIRY-PVP-SP-2021-58.gz
26 Remittance 10600396.xlsx
27 sample photo.zip

IoC servidor SMTP

Direcciones IP de servidor SMTP. Se debe tener consideración que podrían aparecer direcciones de Servicios Cloud reconocidos, ya que este apartado informa desde donde salieron los correos electrónicos maliciosos.

 

IP Etiqueta de sistema autónomo ASN
1 45.144.225.109 Delis LLC AS 211252
2 45.144.225.120 Delis LLC AS 211252
3 91.250.116.253 Host Europe GmbH AS 8972
4 103.28.52.162 PT Cloud Hosting Indonesia AS 136052
5 103.99.0.129 VIETNAM POSTS AND TELECOMMUNICATIONS GROUP AS 135905
6 103.99.1.233 VIETNAM POSTS AND TELECOMMUNICATIONS GROUP AS 135905
7 140.227.40.151 NTT PC Communications, Inc. AS 2514
8 142.93.105.38 DIGITALOCEAN-ASN AS 14061
9 143.198.42.245 DIGITALOCEAN-ASN AS 14061
10 159.223.12.59 DIGITALOCEAN-ASN AS 14061
11 162.240.20.73 UNIFIEDLAYER-AS-1 AS 46606
12 181.30.31.39 Telecom Argentina S.A. AS 7303
13 185.222.57.144 RootLayer Web Services Ltd. AS 51447
14 185.222.58.123 RootLayer Web Services Ltd. AS 51447
15 190.61.219.226 IFX18747 AS 18747
16 194.99.46.217 Des Capital B.V. AS 213035
17 194.99.46.218 Des Capital B.V. AS 213035
18 37.0.11.158 Delis LLC AS 211252
19 45.137.22.163 RootLayer Web Services Ltd. AS 51447
20 45.137.22.168 RootLayer Web Services Ltd. AS 51447
21 45.137.22.189 RootLayer Web Services Ltd. AS 51447
22 45.9.168.115 MAXKO j.d.o.o. AS 211619

Recomendaciones                                                         

  • No abrir correos ni mensajes de dudosa procedencia.
  • Desconfiar de los enlaces y archivos en los mensajes o correo.
  • Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java y otras).
  • Ser escépticos frente ofertas, promociones o premios increíbles que se ofrecen por internet.
  • Prestar atención en los detalles de los mensajes o redes sociales.
  • Evaluar el bloqueo preventivo de los indicadores de compromisos.
  • Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.
  • Revisar los controles de seguridad de los antispam y sandboxing.
  • Realizar concientización permanente para los usuarios sobre este tipo de amenazas.
  • Visualizar los sitios web que se ingresen sean los oficiales.

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 2CMV21-00251-01.

2CMV21-00251-01 CSIRT alerta sobre nuevas campañas de phishing con malware y comparte IoC para su bloqueo