28 noviembre, 2023

2CMV23-00437-01 CSIRT alerta de nueva campaña de phishing que suplanta al SII, difundiendo el malware Mekotio

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT de Gobierno) ha identificado una nueva campaña de phishing con malware que suplanta al Servicio de impuestos Internos.

Si la víctima interactúa con el fichero malicioso incluido en estos correos de phishing fraudulentos, se encuentra con Mekotio, un troyano bancario que destaca por el uso de una base de datos SQL como servidor de comando y control.

Indicadores de Compromiso Asociados  

Archivos que se encuentran en la amenaza

SHA256

Indicador Relación
3250311de041c22eab029c97e95b6d2710f5f026ebaf2ea90e85afca6ae14007 Boleta_Pendiente_6564e9b5b88292.81012419.zip
ff06652a3243b538a50715d9a8d44c3b8ca34aff98cc8d1cf6b2fd0a0c139982 ENEL91928001237N0320B127S7.msi

URL-Dominio

Dominio Relación
http://lucacocinas.com[.]ar/swf/abs/TGR/VF9IU7TS9S8D3_Boleta_Pendiente_3171_4D2F_8B51_9C5E_002839921.php Descarga del Fichero
http://medulashvili[.]ge/Data/Boleta/Sii/H6F3VB881I0/home.php?hash=P0s&CAYdj1=sII Contenedor Malware
support@orientbethlehem[.]net Correo de salida
18.228.28[.]141:9795 C2

MITRE ATT&CK

Descripción ID
Acceso Inicial (Mediante Phishing) T1566.002
Descubrimiento (Consulta del Registro) T1012
Descubrimiento (Información del Sistema) T1082
Descubrimiento (Equipos Perimetrales) T1120

 

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 2CMV23-00437-01.

2CMV23-00437-01 CSIRT alerta de nueva campaña de phishing que suplanta al SII, difundiendo el malware Mekotio