2CMV22-00302-01 CSIRT advierte campaña de phishing con adjuntos que contienen malware

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT) ha identificado una campaña de phishing con malware. El mensaje proviene, supuestamente, por una persona del equipo de trabajo de la víctima, quien adjunta un archivo en formato .zip, el cual contiene en su interior un archivo en formato Excel. Al ejecutarlo, se descargan archivos .dll que son parte del malware que gatilla la infección del equipo.

Familia de malware: Emotet

Observación

Solicitamos tener en consideración las señales de compromiso en su conjunto.

IoC Archivo

Archivos que se encuentran en la amenaza

Nombre:              documentación_14.zip

SHA256:               c3eaa48c45bb24774a2851df1b8bd72d239ab1be6ff8542ff65e8e53c72401a8

Nombre:              documentación_14.xls

SHA256:               f9e265a7660e3d54b12c9ec9b7f9aff04e1217e705ae7c69809caf44170261b1

Nombre:              tsGnq2vvf0I7ld5yVHYmlXyDn.dll

SHA256:               2b8d3693b5919bc17bda4da2a38afecd326e353e6d88ea1d3d99c1746d163ad9

Nombre:              LXSdVoxctiTcU84j1SfqItxnM1Gbbxjb.dll

SHA256:               9b7d07a747c11957bd3bac5236dc8317ad9feb84cfb81ca6c8cbb0e7a548c20e

Nombre:              mHJp0RsXn5l204BGHsgPJxqWZ4Y.dll

SHA256:               efac2bbbedb0ce1d4170d184ca471897f57eb8fc3d92ec253c9dafb4aeddb2ae

Nombre:              7PmU5TR2yOZ.dll

SHA256:               529d70448ed5cdc0e6bb89432214e880bd53f3fc2ea9117f5a9f9262d5bdd852

Otros IoC en relación a la amenaza

SHA256:               001d8f7352fd43acf6f276d72571cac4548b540376bbf847036fdbf0e9ce10db

SHA256:               004f0dd54445f9f6c5fe3008bfa719dbd80d5d12e70d8d8ad562b6aae5bee207

SHA256:               016b2d6b86488f15baeba646286aca46566f5cf3d4e787a3cb03af8af99fb2bf

SHA256:               02db3b7e6c7eeff23217a73a9672e84edbc0defac0104881804f4cf41c20ae0a

SHA256:               04e0e78e22e7d486960861504e9c6c1306a698d7944c4a541d87cf47e470885e

SHA256:               1edc6f712e2d7670f8ec65f6f03e3ebb0ab8b59f861cd48ba0f382f2daf2e750

SHA256:               2b8d3693b5919bc17bda4da2a38afecd326e353e6d88ea1d3d99c1746d163ad9

SHA256:               2e53404f8f2098e8608b46ccb485caacc404b12ea0c7f49e405faa714e3ce536

Dominios/URL:

upscalifornia[.]us

yourbankruptcypartner[.]com

webbandi[.]hu

com[.]mx

http://upscalifornia[.]us/libraries/VDu9kaMu/

http://ftp.yourbankruptcypartner[.]com/wp-content/ksdtjfFji/

http://webbandi[.]hu/image/m7IzjWQftQ1Jyw6/

http://zarzamora.com[.]mx/cgi-bin/hAuGj65SuKr/

Recomendaciones

  • No abrir correos ni mensajes de dudosa procedencia.
  • Desconfiar de los enlaces y archivos en los mensajes o correo.
  • Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java y otras).
  • Ser escépticos frente ofertas, promociones o premios increíbles que se ofrecen por internet.
  • Prestar atención en los detalles de los mensajes o redes sociales.
  • Evaluar el bloqueo preventivo de los indicadores de compromisos.
  • Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.
  • Revisar los controles de seguridad de los AntiSpam y SandBoxing.
  • Realizar concientización permanente para los usuarios sobre este tipo de amenazas.
  • Visualizar los sitios web que se ingresen sean los oficiales.

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 2CMV22-00302-01

2CMV22-00302-01 CSIRT advierte campaña de phishing con adjuntos que contienen malware