2CMV23-00415-01 CSIRT alerta de nueva campaña de phishing con malware, que suplanta a Conaset
Si la víctima interactúa con el fichero malicioso se encuentra con el malware conocido como Mekotio, un troyano bancario que apunta principalmente a Brasil, Chile, México, España, Perú y Portugal, y cuya característica más notable es el uso de una base de datos SQL como servidor de C2.
Resumen
El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT de Gobierno) ha identificado una nueva campaña de phishing con malware suplantando a Conaset con un email sobre una falsa multa. Si la víctima interactúa con el fichero malicioso se encuentra con el malware conocido como Mekotio, un troyano bancario que apunta principalmente a Brasil, Chile, México, España, Perú y Portugal, y cuya característica más notable es el uso de una base de datos SQL como servidor de C2. |
Indicadores de Compromiso Asociados
Archivos que se encuentran en la amenaza
SHA256
Indicador | Relación |
00b8b72c1353a2a6646e20bdddad58318dab20ade02151ce3864ff04c912a2cc | InfraccioneNuevaCS.zip |
c8c6ff192502979e1a1983919bd3cadfb8e0c7409f02476c540a6802397222f6 | InfraccioneNuevaCS.msi |
14cef33c97ba660caca4bb0552caa4e68bfa3f117111a10b8d3a3addab7b06b5 | ordencompra20052023.zip |
c8c6ff192502979e1a1983919bd3cadfb8e0c7409f02476c540a6802397222f6 | ordencompra20052023.msi |
c09d0790e550694350b94ca6b077c54f983c135fab8990df5a75462804150912 | 737f93fd.dll |
e1cba56f20dbad484273f58df3d672b4b07f36d237e4cb16dcedd9fba0a720a1 | SOEUVGVPII.Xxv |
a5a770b8d64d757f8894e551ace0627dbe60c3b4e5032d2ccb8ca56f0d0ee352 | oje.p.ahk |
de87c8713fac002b0b0a0f9b02c4e3ebcccf65282a22f5ab5912a9da00f35c2a | oje.p.exe |
URL-Dominio
Dominio | Relación |
https://psdasyogapathy[.]org/images/conaset/ | Descarga del Fichero |
https://montao.com.pe/adslink/ | Contenedor de Malware |
50.116.72[.]199 | IP |
89.116.255[.]59:9999 | IP |
MITRE ATT&CK
Descripción | ID |
Acceso Inicial (Mediante Phishing) | T1566.002 |
Colección (Datos del sistema local) | T1005 |
Acceso a Credenciales (Credenciales en Archivos) | T1081 |
Evasión de Defensa (Modificación de registro) | T1112 |
Evasión de Defensa (Evasión de Virtualización/Sandboxing) | T1497 |
Descubrimiento (Consulta del Registro) | T1012 |
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 2CMV23-00415-01.