Un nuevo ataque de phishing comenzó a propagarse en Chile, a través de un correo electrónico falso de la Policía de Investigaciones, con el remitente Citación Penal Chile y el asunto Denuncia Penal Citación Judicial por Crimen Grave.
El correo contiene un link que dice “Vea aquí su citación...”. Y al hacer click, el usuario es redirigido a una página hackeada que de inmediato descarga el malware. Se trata de un spyware que básicamente reúne la información del computador, para luego transmitirla a un servidor externo. De acuerdo a la evidencia, el o los ciberdelincuentes que realizaron el ataque se denominan 1NB0X y su servidor está alojado en Brasil.
Debido a que la campaña envía correos con distintos dominios de correo autogenerados y a que el archivo adjunto también contiene nombres diferentes, no es posible tomar acciones como bloquear los sender o correos con adjuntos, para evitar la infección.
Los siguientes dominios son modificables y los números que lo integran se autogeneran:
CITACIONPENALCHILE75875177@web02[.]dieperink[.]ch
CITACIONPENALCHILE00000000@web02[.]dieperink[.]ch
DA0051718447254577_.zip
Evaluación de riesgos
El spyware utilizado para la campaña de phishing mencionada tiene las siguientes capacidades:
Se recomienda realizar campañas comunicacionales permanentes dirigidas a integrantes de las organizaciones, explicando sobre los peligros del phishing y cómo actúa para engañar a sus víctimas. También sugerir dudar de cualquier correo que contenga un enlace, ya sea en el cuerpo del e-mail o dentro de un documento adjunto. Y por supuesto, nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
Producto | Versión |
---|---|
Microsoft |
Windows |
Tipo | Indicador |
---|---|
hash | ebc6fc47e952351fd8cdfa6dbfe... |
hash | 626dba2cf457e3b87a1edb30c21... |
url | ost2[.]ecritel[.]net |
url | lin1[.]jwt[.]nohup[.]it |
url | being-there[.]org[.]uk |
url | Server[.]itdpals[.]com |
url | Alucentrex[.]pt |
url | web02[.]dieperink[.]ch |
url | Noether[.]math[.]uoa[.]gr |
ip | 200.144.255.37 |
ip | 213.218.148.196 |
ip | 81.29.211.174 |
ip | 185.80.133.137 |
ip | 162.241.233.9 |
ip | 89.26.248.84 |
ip | 195.186.120.132 |
ip | 104.211.240.48 |
ip | 195.134.81.166 |