2CMV23-00415-01 CSIRT alerta de nueva campaña de phishing con malware, que suplanta a Conaset
Si la víctima interactúa con el fichero malicioso se encuentra con el malware conocido como Mekotio, un troyano bancario que apunta principalmente a Brasil, Chile, México, España, Perú y Portugal, y cuya característica más notable es el uso de una base de datos SQL como servidor de C2.
Resumen
|
El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT de Gobierno) ha identificado una nueva campaña de phishing con malware suplantando a Conaset con un email sobre una falsa multa. Si la víctima interactúa con el fichero malicioso se encuentra con el malware conocido como Mekotio, un troyano bancario que apunta principalmente a Brasil, Chile, México, España, Perú y Portugal, y cuya característica más notable es el uso de una base de datos SQL como servidor de C2. |
Indicadores de Compromiso Asociados
Archivos que se encuentran en la amenaza
SHA256
| Indicador | Relación |
| 00b8b72c1353a2a6646e20bdddad58318dab20ade02151ce3864ff04c912a2cc | InfraccioneNuevaCS.zip |
| c8c6ff192502979e1a1983919bd3cadfb8e0c7409f02476c540a6802397222f6 | InfraccioneNuevaCS.msi |
| 14cef33c97ba660caca4bb0552caa4e68bfa3f117111a10b8d3a3addab7b06b5 | ordencompra20052023.zip |
| c8c6ff192502979e1a1983919bd3cadfb8e0c7409f02476c540a6802397222f6 | ordencompra20052023.msi |
| c09d0790e550694350b94ca6b077c54f983c135fab8990df5a75462804150912 | 737f93fd.dll |
| e1cba56f20dbad484273f58df3d672b4b07f36d237e4cb16dcedd9fba0a720a1 | SOEUVGVPII.Xxv |
| a5a770b8d64d757f8894e551ace0627dbe60c3b4e5032d2ccb8ca56f0d0ee352 | oje.p.ahk |
| de87c8713fac002b0b0a0f9b02c4e3ebcccf65282a22f5ab5912a9da00f35c2a | oje.p.exe |
URL-Dominio
| Dominio | Relación |
| https://psdasyogapathy[.]org/images/conaset/ | Descarga del Fichero |
| https://montao.com.pe/adslink/ | Contenedor de Malware |
| 50.116.72[.]199 | IP |
| 89.116.255[.]59:9999 | IP |
MITRE ATT&CK
| Descripción | ID |
| Acceso Inicial (Mediante Phishing) | T1566.002 |
| Colección (Datos del sistema local) | T1005 |
| Acceso a Credenciales (Credenciales en Archivos) | T1081 |
| Evasión de Defensa (Modificación de registro) | T1112 |
| Evasión de Defensa (Evasión de Virtualización/Sandboxing) | T1497 |
| Descubrimiento (Consulta del Registro) | T1012 |
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 2CMV23-00415-01.