El 8 de enero comenzó a distribuirse un phishing que simula provenir de las compañías de telecomunicaciones Entel y Movistar. La campaña utiliza un troyano bancario llamado N40 y se dirige a los clientes de las compañías.
El e-mail hace referencia a un imprevisto en el pago de la cuenta y contiene un enlace que dice: “Descargar Su Factura”. Al hacer click en él se ejecuta un archivo .ZIP, que instala un troyano que intenta robar las credenciales bancarias de la víctima.
Al igual que otras campañas de phishing que se han distribuido en el país en el último tiempo, N40 proviene de Brasil.
De acuerdo a la evidencia analizada, la campaña no se trata de un smishing, debido a que ésta llega sólo a través de SMS. Es un phishing, porque se distribuye a través de correo electrónico.
El malware utilizado para la campaña de phishing mencionada tiene las siguientes capacidades:
-Crea un valor en el registro de autoejecución (persistencia)
-Lee el nombre del computador activo, entre otra información del equipo
-Lee el GUID (identificador único global)
-Implementa técnicas de antivirtualización (evasión)
-Lee el registro para artefactos específicos de VMWare.
-En comportamiento de red, contiene dominios y hosts, donde procesa la información que roba para enviársela a un servidor externo (C&C).
Se recomienda realizar campañas comunicacionales permanentes dirigidas a clientes y colaboradores de las organizaciones afectadas, explicando sobre los peligros del phishing y cómo actúa para engañar a sus víctimas. También sugerir dudar de cualquier correo que contenga un enlace, ya sea en el cuerpo del e-mail o dentro de un documento adjunto. Y por supuesto, nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
-Antes de abrir un archivo ZIP, aunque provenga de un correo electrónico conocido, se recomienda comprobar que sea de confianza.
-Generar regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
-Bloquear comunicación bidireccionalmente de las direcciones IP’s y dominios indicados en tráfico perimetral.
-Reemplazar los sistemas operativos Windows antiguos por las versiones más recientes.
-Bloquear el acceso de administrador predeterminado de los usuarios.
-Aplicar reglas exigentes para la creación de contraseñas.
-Usar un antivirus con escáner de acceso (protección en tiempo real).
-Nunca deshabilitar las funciones de seguridad, si un correo electrónico o documento te lo solicita.
-Configurar de manera más estricta el anti spam.
-Bloquear el acceso de administrador predeterminado de los usuarios.
-Aplicar reglas exigentes para la creación de contraseñas.
-Usar un antivirus con escáner de acceso (protección en tiempo real).
| Producto | Versión |
|---|---|
| Microsoft Windows |
7 8 10 |
| Tipo | Indicador |
|---|---|
| url | hxxps://imginst[.]com/FACTURA/ |
| url | hxxps://seguroinfochile[.]c... |
| url | hxxps://securesdocs[.]com/h... |
| url | seguroinfochile[.]com |
| url | securesdocs[.]com |