Contáctanos al
1510
Resumen
El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT de Gobierno) ha identificado una nueva campaña de phishing con malware. En ella, el mensaje es enviado desde una dirección de correo de la empresa RSG y menciona un pago por adelantado contra una factura para la confirmación, adjuntando las supuestas copias originales de la factura comercial, documentos que en realidad contienen malware (programas maliciosos).
Así, el archivo adjunto es de tipo ZIP, con el nombre de “RSG USD17309_txt_______.zip”, y posee dentro un archivo tipo exe que, de ser ejecutado, infecta el equipo con Agent Tesla. Este malware es un “info stealer”, sustrae contraseñas almacenadas en navegadores web y en rutas dentro del sistema, registra las pulsaciones de teclas y realiza capturas de pantalla, entre otros.
Observación
Solicitamos tener en consideración las señales de compromiso en su conjunto.
IoC Correo Electrónico
Datos del encabezado del correo
Asunto | Correo de Salida |
Re: re: factura proforma | v.bustos@rsg.cl |
IoC archivo
Archivos que se encuentran en la amenaza
Nombre | SHA256 |
RSG USD17309_txt_______.zip | deed64f511e7934edad03d0cbcdf5eb3b9492504f37e8b6e1d054decd61ca278 |
RSG USD17309_txt_______.exe | 805dba78dbdff90f7f1f8f58b877d2ce89cae2f409db4d7b50eb28bb55a0ac13 |
LBYA.exe | a341ed5a5e9ba2f7a0a0a5edc9aef870684c6ba26e4e59336ffeec58e835fc2d |
Command and Control
https://api.telegram[.]org/bot5700681005:AAF2K-iQMsKRkqCcUgSZLmmugrKJcbb8Xg8/ |
Recomendaciones
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 2CMV22-00351-PH-01.