Contáctanos al
1510
Resumen
El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT de Gobierno) ha identificado una nueva campaña de phishing con malware suplantando a Autopase, sistema de pago del TAG. La campaña es difundida por medio de correo masivo, buscando que el receptor abra el mensaje al mencionar una falsa deuda de TAG, que supuestamente hará que el dispositivo sea deshabilitado. |
Los delincuentes incluyen un enlace malicioso, el cual descarga un fichero tipo rar con otro archivo en su interior, este de extensión cmd, el que inyecta un código malicioso conocido como Mispadu.
Misdapu pertenece a una familia de malware bancarios recientes, los cuales representan un riesgo para la información de los titulares de cuentas bancarias. Además, tiene capacidades de actualización a través de un archivo de Visual Basic Script (VBS), que se descarga y ejecuta automáticamente. Durante el proceso de infección, el malware recopila los datos de la computadora de la víctima como la versión del sistema operativo usado, el nombre de la computadora, el idioma del dispositivo, y si hay un antivirus instalado.
Advertencia sobre gestión de IoC
Los patrones expresados en forma de hash de un archivo pueden ser administrados con herramientas centralizadas y distribuidas, como firewall y antimalware. Las organizaciones deben tomar resguardo de incorporar un hash que pudiere estar vinculado a un archivo o DLL válida dentro de un sistema.
Al gestionar patrones potencialmente maliciosos con nombres de host o IP, se debe considerar que la relación entre nombre FQDN e IP puede cambiar en el tiempo, y que una dirección IP específica puede estar siendo usada por un proveedor de web hosting que puede tener más de un dominio asociado a dicha IP.
En consecuencia, se recomienda tener un orden de prioridades a la hora de ejecutar un bloqueo, considerando al menos:
IoC Correo Electrónico
Antes de aplicar bloqueos, tenga presente lo indicado en el punto sobre advertencia de gestión de IoC.
Datos del encabezado del correo
Asunto | Correo de Salida | SMTP |
Su tag está inhabilitado por deuda. | postmaster@ashley-howard.co.uk | [185.26.148.57] |
Indicadores de Compromiso Asociados
Archivos que se encuentran en la amenaza
Tipo | Indicador | Relación |
SHA256 | f669aba8e7621d7c21ad4553d6899311ecdff561fda86261a496a46c7604d4cc | DeudaAutopistas_193466.rar |
SHA256 | d016b039526f23dcddeeac7c511bd7ef439177541504e2998e19d7892481aa7d | DeudaAutopistas.cmd |
SHA256 | b753a9dc95ffc2fde9e31d8cbf7b44b59d25e393e7ad6a1effff6122011b4fef | ~~ |
SHA256 | 593d0e89345ac495b7ab40fb789a51fd68c4f2f582de7c17c96f52ffa21e00e1 | ~~ |
SHA256 | bb2a3bbc876eb671233d6980826be466464e7026fd3e2f71c8a825c0de2fa106 | DriverAudio.lnk |
SHA256 | 206a789ac6eaca1d44d4d89fa77d7e0407cfc9c9fcf5917ce4fc2a947328a8fc | DeudaAutopistas.a3x |
SHA256 | 98e4f904f7de1644e519d09371b8afcbbf40ff3bd56d76ce4df48479a4ab884b | feldman.exe |
SHA256 | b3ce811fb696b94f9117ee7fe725ae6b907d695636beceeb1672d5d5eeb81df4 | sqlite3.dll |
URL | https://facturasnet[.]store/?uQNaBDB6VMlMEOBOuKU4UTuOJAvdL36I6gJMHTGD | Malware Config |
URL | http://germogenborya[.]top/rest/?h=FA46E43C | Malware Config |
URL | https://www.autoitscript[.]com/autoit3/pkgmgr/sqlite/sqlite3.dll | Malware Config |
URL | http://vaadiandkoh[.]com/ue/app/do/it.php?f=9&w=Windows%207 | Malware Config |
URL | http://vaadiandkoh[.]com/ue/app/do/it.php?b1&v1=1033&v2=1033&v3=&v4=Windows%207&v5=Admin&v6=X64 | Malware Config |
Recomendaciones
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 2CMV23-00398-01.