2CMV22-00299-01 CSIRT advierte phishing con malware adjuntando falsa factura
Resumen
El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT) ha identificado una campaña de phishing con malware. El mensaje indica falsamente a la víctima que se emitió una factura electrónica para su pedido. Para revisarla, el atacante adjunta dos archivos en formato PDF y XML. Al descargarlos y ser ejecutados, se gatilla la infección del equipo.
Observación
Solicitamos tener en consideración las señales de compromiso en su conjunto.
IoC Correo Electrónico
Datos del encabezado del correo
Asunto
✉ Tu factura está disponible - 23/05/2022
Servidor de correo
| 20.219.143.36 | 52.252.56.139 | 20.87.25.20 | 20.92.73.75 |
| 20.92.73.4 | 20.216.146.59 | 102.37.105.123 | 40.74.73.190 |
| 40.86.229.141 | 102.37.113.209 | 20.216.148.89 | 20.218.78.105 |
| 52.255.60.210 | 52.242.73.49 | 20.111.28.70 | 20.218.77.201 |
| 52.242.134.29 | 20.212.2.222 | 20.219.253.207 | 20.24.34.74 |
| 20.233.34.228 | 51.141.0.171 | 20.115.124.55 | 20.214.140.134 |
| 20.213.245.57 | 52.189.227.39 | 52.242.127.139 | 20.24.36.128 |
| 20.106.154.136 | 52.235.0.108 | 20.104.217.50 | 20.104.21.44 |
| 52.229.91.43 | 102.37.104.37 | 20.87.24.126 | 51.140.221.185 |
| 20.213.248.226 | 20.216.144.2 | 20.203.178.120 | 40.114.70.150 |
| 51.13.109.64 | 20.214.140.126 | 20.125.196.85 | 20.219.252.231 |
| 20.104.222.49 | 23.97.61.33 | 102.37.105.114 | 20.216.144.52 |
| 51.13.76.83 | 20.219.253.235 | 102.37.112.175 | 20.111.31.88 |
| 20.92.73.247 | 20.214.136.141 | 20.125.196.64 | 20.216.30.227 |
| 40.114.64.138 | 52.229.64.244 | 20.104.74.208 | 20.104.79.7 |
| 20.85.229.53 | 20.221.196.251 | 20.125.199.63 | 13.77.60.169 |
| 20.216.34.200 | 20.214.140.220 | 20.210.141.35 | 20.227.136.40 |
| 20.227.138.13 | 51.140.228.104 | 20.89.232.108 | 52.165.215.108 |
| 52.243.103.99 | 20.125.198.147 | 20.106.155.109 | 20.216.150.93 |
| 40.127.68.11 | 52.159.94.58 | 51.13.88.106 | 20.203.177.215 |
| 52.165.194.202 | 20.216.148.163 | 51.140.252.228 | 20.216.34.184 |
| 20.216.58.242 | 20.214.137.54 | 52.189.252.214 | 20.113.160.81 |
| 20.92.73.250 | 20.216.60.24 | 20.218.75.43 | 20.203.178.87 |
| 52.165.197.10 | 20.186.12.239 | 20.92.73.251 | 52.243.83.198 |
| 20.213.240.47 | 20.203.178.185 | 20.110.103.134 | 20.203.138.3 |
| 20.216.10.17 | 52.247.104.50 | 20.219.252.228 | 40.74.68.233 |
| 20.216.28.170 | 104.46.197.154 | 20.218.77.69 | 20.89.234.105 |
| 51.13.69.172 | 20.233.34.155 | 51.141.7.229 | 20.212.187.231 |
| 52.229.70.82 | 40.74.73.210 | 20.104.78.241 | 20.218.78.192 |
| 52.165.194.47 | 52.172.235.100 | 40.74.71.240 | 20.221.197.236 |
| 52.165.194.104 | 51.141.13.9 | 40.74.90.216 | 20.213.245.98 |
| 40.86.201.217 | 51.141.64.85 | 51.13.103.146 | 20.104.50.185 |
| 20.219.143.36 | 52.252.56.139 | 20.87.25.20 | 20.92.73.75 |
Correo Electrónico
IoC Archivo
Archivos que se encuentran en la amenaza
Nombre: myen8.zip
SHA256: 30f6ded6df72c217f2022e927d38643ac2f472b149c3317c8f3407e3728b4755
Nombre: taot0.msi
SHA256: af2f794adc6060e8c10fa32366d8be97bd3e4dd0a958978cb2315d035124f13e
Nombre: bisur.ahk
SHA256: 49d34cf73009f109860f8f5a3857f205240ecfcc5b1dbffe04a054090b45575e
Nombre: bisur.exe
SHA256: 3242e0a736ef8ac90430a9f272ff30a81e2afc146fcb84a25c6e56e8192791e4
Nombre: JSON.ahk
SHA256: bb85e4530ccd6355b3ef3506548b4f513bea844d1af37a69624c9c455521c70f
Nombre: mole.ija
SHA256: cb76672f7442b725e4c39db6edb7cc7259469cdd38b3d0f4f90226d981a380a9
Nombre: izjiaybbox.28p
SHA256: 845b03ca416bbc07b1193fb2a678f70e19d4b4698a30ac0c0aba8c635d71eb52
Nombre: t8w1k00836cz8nllqvhhh
SHA256: 0a6af331a1d312b6b8563a5e4e8eaa83a5b933bd6f73f2b03168eb5e262b83d6
Nombre: o0pycr51102i1ll41ha62ggg
SHA256: 3242e0a736ef8ac90430a9f272ff30a81e2afc146fcb84a25c6e56e8192791e4
IoC URLS
hXXp://ip-72-167-45-95.ip.secureserver[.]net/.contacto/?hash=
hXXps://facturadisponible.japanwest.cloudapp.azure[.]com/?hash=
hXXps://www.opvn[.]info/modules/mole.ija
Recomendaciones
- No abrir correos ni mensajes de dudosa procedencia.
- Desconfiar de los enlaces y archivos en los mensajes o correo.
- Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java y otras).
- Ser escépticos frente ofertas, promociones o premios increíbles que se ofrecen por internet.
- Prestar atención en los detalles de los mensajes o redes sociales.
- Evaluar el bloqueo preventivo de los indicadores de compromisos.
- Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.
- Revisar los controles de seguridad de los AntiSpam y SandBoxing.
- Realizar concientización permanente para los usuarios sobre este tipo de amenazas.
- Visualizar los sitios web que se ingresen sean los oficiales.
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 2CMV22-00299-01