Se propaga falso correo electrónico de la PDI

Un nuevo ataque de phishing comenzó a propagarse en Chile, a través de un correo electrónico falso de la Policía de Investigaciones, con el remitente Citación Penal Chile y el asunto Denuncia Penal Citación Judicial por Crimen Grave.

El correo contiene un link que dice “Vea aquí su citación...”. Y al hacer click, el usuario es redirigido a una página hackeada que de inmediato descarga el malware. Se trata de un spyware que básicamente reúne la información del computador, para luego transmitirla a un servidor externo. De acuerdo a la evidencia, el o los ciberdelincuentes que realizaron el ataque se denominan 1NB0X y su servidor está alojado en Brasil.

Debido a que la campaña envía correos con distintos dominios de correo autogenerados y a que el archivo adjunto también contiene nombres diferentes, no es posible tomar acciones como bloquear los sender o correos con adjuntos, para evitar la infección.

Los siguientes dominios son modificables y los números que lo integran se autogeneran:

CITACIONPENALCHILE75875177@web02[.]dieperink[.]ch

CITACIONPENALCHILE00000000@web02[.]dieperink[.]ch

DA0051718447254577_.zip

Evaluación de riesgos

El spyware utilizado para la campaña de phishing mencionada tiene las siguientes capacidades:

• Intercepta y registra los movimientos del mouse (lo que escribe o a qué link ingresa el usuario, entre otros)
• Envía archivos en formato Post a un servidor web
• Crea un valor en el registro de autoejecución (persistencia)
• Consulta la información del kernel.
• Lee el nombre del computador activo, entre otra información del equipo
• Lee el GUID (identificador único global)
• Implementa técnicas de anti virtualización (evasión)
• Lee el registro para artefactos específicos de VMWare.
• En comportamiento de red, contiene dominios y hosts, donde procesa la información que roba para enviársela a un servidor externo (C&C).

Se recomienda realizar campañas comunicacionales permanentes dirigidas a integrantes de las organizaciones, explicando sobre los peligros del phishing y cómo actúa para engañar a sus víctimas. También sugerir dudar de cualquier correo que contenga un enlace, ya sea en el cuerpo del e-mail o dentro de un documento adjunto. Y por supuesto, nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.

• Configurar de manera más estricta el anti spam.
• Mantener la suite de MS Office actualizada con los últimos parches de seguridad.
• Reemplazar los sistemas operativos Windows antiguos por las versiones más recientes.
• Bloquear el acceso de administrador predeterminado de los usuarios.
• Aplicar reglas exigentes para la creación de contraseñas.
• Usar un antivirus con escáner de acceso (protección en tiempo real).