| Alerta de seguridad | 29ICS-Blikon2022 |
| Clase de alerta | Campaña de difusión de Malware |
| Tipo de evento | Suplantación de correo |
| Fecha de lanzamiento | 29 de noviembre de 2022 |
| Última revisión | 29 de noviembre de 2022 |
Notificación
El presente reporte es producto del análisis del equipo de respuesta a incidentes del instituto de ciberseguridad (ERIICS).
Este tipo de alerta hace referencia una metodología de fraude conocida como Phishing a través de suplantación de identidad, el cual podría generar una afectación sobre servicios o ambientes productivos o comprometer la seguridad de la infraestructura interna o externa de tu organización.
Resumen
El equipo de respuesta a incidentes del instituto de ciberseguridad (ERIIC), ha identificado una campaña de distribución de Malware.
El mensaje informa a la víctima que ha recibido un comprobante fiscal digital, en él se adjunta un archivo con terminación .pdf y enlaces para la descarga de los documentos maliciosos en caso de ser detectado y puesto en cuarentena el archivo descargado.
Asunto y remitente
- El remitente a diferencia de otros correos es el mismo: facturaciondigital@blikon.com.mx
- El asunto del correo análizado: Blikon Facturacion digital (258902)
El numeral incluido en el asunto, cambia de manera contante con base se envía un correo nuevo.
Correo analizado
Lista de correos retenidos
Análisis del archivo
El correo electrónico cuenta con archivos adjuntos con terminación .PDF
Aunque este es detectado por los motores de Antimalware de Microsoft, evitando su descarga y ejecución
En un breve análisis a través de Virus total, se pueden identificar que varios motores de Antimalware lo identifican como malicioso:
Puedes dar clic aquí para acceder a la información mencionada con anterioridad
Las propiedades del archivo son las siguientes
| Algoritmo Hash | Valor Hash |
|
MD5 |
95870ea11bbdf3a77334e4114e41e59f |
|
SHA-1 |
111b0dc46a0cde3f4e5fdb3837b44d2695d9cfb6 |
|
SHA-256 |
4b2275d5c3a66e2cc27e8968662461867574bb4509da2107e8e0e1469a18c1d9 |
Al ejecutar el archivo PDF realiza la apertura de un documento con un enlace para descargar otro archivo
Este archivo contiene los siguientes elementos
Al ejecutar el archivo que lleva por nombre Factura_153535……
Nos apertura una ventana con la que aparentemente se estaría realizando alguna confirmación a través de un CAPTCHA.
Análisis del correo
Se puede observar que, a través de las cabeceras, no se cuenta con la autenticación ni alineado a los registros SPF o DKIM y el envío de correos se realiza desde un servidor de OVH con Dirección IP 51.79.70.74
Problemática que permite la suplantación
Al momento de revisar la política de DMARC, así como SPF se puede identificar que no se cuenta con estos registros creados o publicados.
Realizando una revisión de todos los registros TXT, tampoco de identifica, puedes verlo en el siguiente enlace: DNS Checker – DNS Check Propagation Tool
¿Qué quiere decir esto?
Que la política al no existir no puede hacer nada para prevenir la suplantación de identidad, o lo que es equivalente a entregar los correos electrónicos cuando detecte que provienen de una fuente distinta a las agregadas en los registros SPF, de hecho, este dominio NO cuenta con ningún registro SPF, DMARC o DKIM.
Recomendaciones
- Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java, entre otras).
- Contar con una solución de AntiSpam con características de identificación de Malware.
- Actualizar y refinar las reglas de seguridad de los AntiSpam y SandBoxing.
- Realizar concientización permanente para los usuarios sobre este tipo de amenazas.
- Contar con los registros DNS en los servidores de correo (SPF, DMARC y DKIM)
- Quedará a consideración, el bloqueo de remitentes de “blikon.com.mx”
- Aplicar una política de Antimalware en el gestor de Correo electrónico.
- Aplicar mecanismos AntiSpam que permitan el rechazo de correos en caso de fallo con alineación SPF.
Medios de contacto
¿Quieres mejorar tu postura ciberseguridad? ¡Podemos ayudarte!
Whatsapp: https://wa.me/message/XLMOBC7ABUGAA1
Teléfono: +52 812 672 1298 / +52 812 587 2530
Correo: csirt@iciberseguridad.io