27 septiembre, 2022

2CMV22-00351-01 CSIRT alerta campaña de malware con falsos documentos de pago

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT de Gobierno) ha identificado una nueva campaña de phishing con malware. En ella, el mensaje es enviado desde una dirección de correo de la empresa RSG y menciona un pago por adelantado contra una factura para la confirmación, adjuntando las supuestas copias originales de la factura comercial, documentos que en realidad contienen malware (programas maliciosos).

Así, el archivo adjunto es de tipo ZIP, con el nombre de RSG USD17309_txt_______.zip, y posee dentro un archivo tipo exe que, de ser ejecutado, infecta el equipo con Agent Tesla. Este malware es un “info stealer”, sustrae contraseñas almacenadas en navegadores web y en rutas dentro del sistema, registra las pulsaciones de teclas y realiza capturas de pantalla, entre otros.

Observación

Solicitamos tener en consideración las señales de compromiso en su conjunto.

IoC Correo Electrónico

Datos del encabezado del correo

Asunto Correo de Salida
Re: re: factura proforma v.bustos@rsg.cl

IoC archivo

Archivos que se encuentran en la amenaza

Nombre SHA256
RSG USD17309_txt_______.zip deed64f511e7934edad03d0cbcdf5eb3b9492504f37e8b6e1d054decd61ca278
RSG USD17309_txt_______.exe 805dba78dbdff90f7f1f8f58b877d2ce89cae2f409db4d7b50eb28bb55a0ac13
LBYA.exe a341ed5a5e9ba2f7a0a0a5edc9aef870684c6ba26e4e59336ffeec58e835fc2d

 Command and Control

https://api.telegram[.]org/bot5700681005:AAF2K-iQMsKRkqCcUgSZLmmugrKJcbb8Xg8/

Recomendaciones

  • No abrir correos ni mensajes de dudosa procedencia.
  • Desconfiar de los enlaces y archivos en los mensajes o correo.
  • Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java y otras).
  • Ser escépticos frente ofertas, promociones o premios increíbles que se ofrecen por internet.
  • Prestar atención en los detalles de los mensajes o redes sociales.
  • Evaluar el bloqueo preventivo de los indicadores de compromisos.
  • Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.
  • Revisar los controles de seguridad de los antispam y sandboxing.
  • Realizar concientización permanente para los usuarios sobre este tipo de amenazas.
  • Visualizar los sitios web que se ingresen sean los oficiales.

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 2CMV22-00351-PH-01.

2CMV22-00351-01 CSIRT alerta campaña de malware con falsos documentos de pago