Contáctanos al
1510
Resumen
El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT de Gobierno) ha identificado una nueva campaña de phishing con malware suplantando a Extral. Por medio de un correo masivo, el atacante menciona una falsa factura, llamando a la potencial víctima a descargar un archivo del tipo rar. Si la victima interactúa con este archivo se encontrará con un malware de los tipos infostealer y dropper, el cual sustrae información de la maquina infectada, credenciales de correos, lee los datos de los navegadores web, accede a los perfiles de los correos electrónicos de Outlook y realiza la enumeración de los procesos realizados por el equipo, entre otros. Analizando las tácticas, técnicas y procedimientos asociadas a la muestra, descubrimos la presencia de 5 tácticas y 6 técnicas. Entre estas podemos encontrarnos con las tácticas de acceso inicial (mediante phishing), ejecución (el usuario ejecuta el fichero malicioso), acceso a credenciales (capturas de credenciales a través de Barbee), evasión defensiva (desofuscación ofuscación de archivos o información, modificación de llaves de registro) y colección (colección automatizada para recolectar información). |
Advertencia sobre gestión de IoC
Los patrones expresados en forma de hash de un archivo pueden ser administrados con herramientas centralizadas y distribuidas, como firewall y antimalware. Las organizaciones deben tomar resguardo de incorporar un hash que pudiere estar vinculado a un archivo o DLL válida dentro de un sistema.
Al gestionar patrones potencialmente maliciosos con nombres de host o IP, se debe considerar que la relación entre nombre FQDN e IP puede cambiar en el tiempo, y que una dirección IP específica puede estar siendo usada por un proveedor de web hosting que puede tener más de un dominio asociado a dicha IP.
En consecuencia, se recomienda tener un orden de prioridades a la hora de ejecutar un bloqueo, considerando al menos:
IoC Correo Electrónico
Antes de aplicar bloqueos, tenga presente lo indicado en el punto sobre advertencia de gestión de IoC.
Datos del encabezado del correo
Asunto | Correo de Salida | SMTP |
Facturacion electronica | chernandez@extral.com.mx | [85.13.137.229] |
Indicadores de Compromiso Asociados
Archivos que se encuentran en la amenaza
Tipo | Indicador | Relación |
SHA256 | bc74667556dc9f935ea423d6027c494a1daf8db07225ad278afc0614cb1158d5 | doc_Factura_830873.html |
SHA256 | 3d5d6044734a18b4a78abaa64326d544e3e6aaa8a68f1e86a1fce05c1c90ade6 | Factcura_950960.rar |
SHA256 | 8139c3fe860410dee6c76c9bc1ababc163043f9d4784ed468fe8a25a7c0eae41 | doc_Factura.cmd |
SHA256 | 4dc59c4e6f73f6c9c17a40fe2fe0a74670b6a0b712b73a002ec497848894dd5d | ~~ |
SHA256 | 005e51bcc1decf20239bb92a0411f669c2ad26c86839754ee34a43a2d020afa7 | doc_Factura.a3x |
SHA256 | 237d1bca6e056df5bb16a1216a434634109478f882d3b1d58344c801d184f95d | reyna.exe |
SHA256 | b3ce811fb696b94f9117ee7fe725ae6b907d695636beceeb1672d5d5eeb81df4 | sqlite3.dll |
URL | aguiasoft.com[.]br | Configuración Malware |
URL | http://aguiasoft.com[.]br/blog/hydra/do/it.php | Configuración Malware |
URL | http://aguiasoft.com[.]br/blog/hydra/do/it.php?b1=1&v1=1033&v2=1033&v3=Windows%207&v4=Admin&v5=X86 | Configuración Malware |
URL | www.autoitscript[.]com | Configuración Malware |
URL | https://www.autoitscript[.]com/autoit3/pkgmgr/sqlite/sqlite3.dll | Configuración Malware |
URL | 20.189.173[.]15:443 | Configuración Malware |
Recomendaciones
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 2CMV22-00390-01.