Alerta – Presunta campaña de difusión de Malware – blikon.com.mx

Alerta + Correo electrónico Equipo de respuesta a incidentes de ciberseguridad todayNovember 30, 2022 62

Background
share close
Alerta de seguridad 29ICS-Blikon2022
Clase de alerta Campaña de difusión de Malware
Tipo de evento Suplantación de correo
Fecha de lanzamiento 29 de noviembre de 2022
Última revisión 29 de noviembre de 2022

Notificación

El presente reporte es producto del análisis del equipo de respuesta a incidentes del instituto de ciberseguridad (ERIICS).

Este tipo de alerta hace referencia una metodología de fraude conocida como Phishing a través de suplantación de identidad, el cual podría generar una afectación sobre servicios o ambientes productivos o comprometer la seguridad de la infraestructura interna o externa de tu organización.

Resumen

El equipo de respuesta a incidentes del instituto de ciberseguridad (ERIIC), ha identificado una campaña de distribución de Malware.

El mensaje informa a la víctima que ha recibido un comprobante fiscal digital, en él se adjunta un archivo con terminación .pdf y enlaces para la descarga de los documentos maliciosos en caso de ser detectado y puesto en cuarentena el archivo descargado.


Asunto y remitente

  • El remitente a diferencia de otros correos es el mismo: facturaciondigital@blikon.com.mx
  • El asunto del correo análizado: Blikon Facturacion digital (258902)

El numeral incluido en el asunto, cambia de manera contante con base se envía un correo nuevo.

Correo analizado


Lista de correos retenidos


Análisis del archivo

El correo electrónico cuenta con archivos adjuntos con terminación .PDF

Aunque este es detectado por los motores de Antimalware de Microsoft, evitando su descarga y ejecución


En un breve análisis a través de Virus total, se pueden identificar que varios motores de Antimalware lo identifican como malicioso:

Puedes dar clic aquí para acceder a la información mencionada con anterioridad

Las propiedades del archivo son las siguientes

Algoritmo Hash Valor Hash

MD5

95870ea11bbdf3a77334e4114e41e59f

SHA-1

111b0dc46a0cde3f4e5fdb3837b44d2695d9cfb6

SHA-256

4b2275d5c3a66e2cc27e8968662461867574bb4509da2107e8e0e1469a18c1d9


Al ejecutar el archivo PDF realiza la apertura de un documento con un enlace para descargar otro archivo


Este archivo contiene los siguientes elementos


Al ejecutar el archivo que lleva por nombre Factura_153535……

Nos apertura una ventana con la que aparentemente se estaría realizando alguna confirmación a través de un CAPTCHA.


Análisis del correo

Se puede observar que, a través de las cabeceras, no se cuenta con la autenticación ni alineado a los registros SPF o DKIM y el envío de correos se realiza desde un servidor de OVH con Dirección IP 51.79.70.74



Problemática que permite la suplantación

Al momento de revisar la política de DMARC, así como SPF se puede identificar que no se cuenta con estos registros creados o publicados.

Realizando una revisión de todos los registros TXT, tampoco de identifica, puedes verlo en el siguiente enlace: DNS Checker – DNS Check Propagation Tool

¿Qué quiere decir esto?

Que la política al no existir no puede hacer nada para prevenir la suplantación de identidad, o lo que es equivalente a entregar los correos electrónicos cuando detecte que provienen de una fuente distinta a las agregadas en los registros SPF, de hecho, este dominio NO cuenta con ningún registro SPF, DMARC o DKIM.




Recomendaciones

  • Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java, entre otras).
  • Contar con una solución de AntiSpam con características de identificación de Malware.
  • Actualizar y refinar las reglas de seguridad de los AntiSpam y SandBoxing.
  • Realizar concientización permanente para los usuarios sobre este tipo de amenazas.
  • Contar con los registros DNS en los servidores de correo (SPF, DMARC y DKIM)
  • Quedará a consideración, el bloqueo de remitentes de “blikon.com.mx”
  • Aplicar una política de Antimalware en el gestor de Correo electrónico.
  • Aplicar mecanismos AntiSpam que permitan el rechazo de correos en caso de fallo con alineación SPF.

Medios de contacto

¿Quieres mejorar tu postura ciberseguridad? ¡Podemos ayudarte!

Whatsapp: https://wa.me/message/XLMOBC7ABUGAA1

Teléfono: +52 812 672 1298 / +52 812 587 2530

Correo: csirt@iciberseguridad.io


Written by: Equipo de respuesta a incidentes de ciberseguridad

Rate it
Previous post

Similar posts

Post comments (0)

Leave a reply

Your email address will not be published. Required fields are marked *