Contáctanos al
1510
El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT de Gobierno) ha identificado una nueva campaña de phishing con malware suplantando a la Superintendencia de Pensiones. De hacer clic en el enlace incluido en el email se llega a una web preparada por los ciberdelincuentes, la cual descarga un archivo tipo rar con otro fichero en su interior, de extensión cmd. Este último inyecta código malicioso. El código malicioso en cuestión se conoce como Mispadu, parte de una familia de malware bancarios que amenaza la información de los titulares de las cuentas bancarias. Además, tiene capacidades de actualización a través de un archivo Visual Basic Script (VBS), que se descarga y ejecuta automáticamente. Durante el proceso de infección, el malware recopila los siguientes datos de la computadora de la víctima: Versión del sistema operativo, Nombre de la computadora, Idioma del dispositivo, Antivirus instalado. |
Advertencia sobre gestión de IoC
Los patrones expresados en forma de hash de un archivo pueden ser administrados con herramientas centralizadas y distribuidas, como firewall y antimalware. Las organizaciones deben tomar resguardo de incorporar un hash que pudiere estar vinculado a un archivo o DLL válida dentro de un sistema.
Al gestionar patrones potencialmente maliciosos con nombres de host o IP, se debe considerar que la relación entre nombre FQDN e IP puede cambiar en el tiempo, y que una dirección IP específica puede estar siendo usada por un proveedor de web hosting que puede tener más de un dominio asociado a dicha IP.
En consecuencia, se recomienda tener un orden de prioridades a la hora de ejecutar un bloqueo, considerando al menos:
IoC Correo Electrónico
Antes de aplicar bloqueos, tenga presente lo indicado en el punto sobre advertencia de gestión de IoC.
Datos del encabezado del correo
Asunto | Correo de Salida | SMTP |
Solicitud de retiro 10% AFP iniciado. | retiros@mail.spensiones.cl | [116.74.186.200] |
Indicadores de Compromiso Asociados
Archivos que se encuentran en la amenaza
Tipo | Indicador | Relación |
SHA256 | 082d50bdaa7400e1e9c1e4c38e7c854ee28f03ec7fe8b9db36e0b60fd0bb06ee | Detalle_Retiro_257999.rar |
SHA256 | 8f9bff6c9819040a6ebe473017a84640bd365c219559c0e416162f2b33ee9bef | Detalle_Retiro_875427.cmd |
SHA256 | ee70262f3d132d4b7b0475f1e8f865ae0eae4c5c45f79e7db9d33ab01fb90278 | StartupProfileData-NonInteractive |
SHA256 | b3ce811fb696b94f9117ee7fe725ae6b907d695636beceeb1672d5d5eeb81df4 | sqlite3.dll |
SHA256 | 09c938d64248a8ddd18b5e1cea2c7376a3f5caa967bc760050ce84617c0587c2 | ~~ |
SHA256 | 6af0c5267d221d7972611ded914ede25d188d046278aceb94d9ada0ff87de153 | ~~ |
SHA256 | de1c86d0d942570fbd63ac3dcd2e397cf0df0a677abc01588a6e9a2591e07ad6 | DriverAudio.lnk |
SHA256 | d6fbabfea8eeecd4436d5de5113e057215f7f31e1725aedc1fb125e086d63e2d | Detalle_Retiro_875427.a3x |
SHA256 | 98e4f904f7de1644e519d09371b8afcbbf40ff3bd56d76ce4df48479a4ab884b | blalock.exe |
URL | https://www.sxconstructions.com[.]au/wp-content/img2/do/it.php?b1&v1=1033&v2=1033&v3=&v4=Windows%2010&v5=Admin&v6=X64&v7= | Malware Config |
URL | https://www.sxconstructions.com[.]au/wp-content/img2/do/it.php?f=2&w=Windows%2010 | Malware Config |
URL | https://www.autoitscript[.]com/autoit3/pkgmgr/sqlite/sqlite3.dll | Malware Config |
URL | http://portaconexao8.top/rest/?h=C3749E07 | Malware Config |
Recomendaciones
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 2CMV23-00399-01.