Alerta – Presunta campaña de difusión de Malware – sat.gob.mx

Alerta + Correo electrónico Equipo de respuesta a incidentes de ciberseguridad todayNovember 28, 2022 379 1 5

Background
share close
Alerta de seguridad 27AICS-SAT2022
Clase de alerta Campaña de difusión de Malware
Tipo de evento Suplantación de correo
Fecha de lanzamiento 27 de noviembre de 2022
Última revisión 27 de noviembre de 2022

Notificación

El presente reporte es producto del análisis del equipo de respuesta a incidentes del instituto de ciberseguridad (ERIICS).

Este tipo de alerta hace referencia una metodología de fraude conocida como Phishing a través de suplantación de identidad, el cual podría generar una afectación sobre servicios o ambientes productivos o comprometer la seguridad de la infraestructura interna o externa de tu organización.

Resumen

El equipo de respuesta a incidentes del instituto de ciberseguridad (ERIIC), ha identificado una campaña de distribución de Malware.

El mensaje informa a la víctima que ha recibido un comprobante fiscal digital, en él se adjunta un archivo con terminación .zip y enlaces para la descarga de los documentos maliciosos en caso de ser detectado y puesto en cuarentena el archivo descargado.


Asunto del correo:

[INFORMACIÓN IMPORTANTE] Servicio de Administración Tributaria.


Remitente

El remitente de correo varía entre estos dos:

administracion1@sat.gob.mx o administracion@sat.gob.mx



Análisis del Correo

El correo electrónico cuenta con archivos adjuntos con terminación .zip

Esto es para evitar que los motores AntiMalware puedan detectar de primera etapa el contenido de los documentos, el nombre del archivo puede variar, al realizar clic en el enlace incrustado en el correo nos descarga un archivo con terminación .zip

 

Extrayendo los archivos, detectamos dos, uno con extensión XLM y uno catalogado como paquete de instalación de Windows:


Análisis de los archivos

En un breve análisis a través de Virus total, se pueden identificar que varios motores de Antimalware lo identifican como malicioso:

 

Las propiedades del archivo son las siguientes

Algoritmo Hash Valor Hash

MD5

7e3eabb3a6fc9d5f868cd2e24b3484fb

SHA-1

f3b52e40a1fcf3fff64514624756fe1e45f027b1

SHA-256

9f997c595010f74ba6c6b01b444a11deccf9e080f55ce28764490415adec3d40

 

Al ejecutar el archivo tipo paquete instalador de Microsoft

nos presenta las siguientes pantallas, en las que, posteriormente nos solicita instalar un certificado.


Análisis de cabeceras

Al momento de revisar las cabeceras del correo, nos podemos dar cuenta que estos provienen de una entidad distinta, un FQDN: sd-159996.dedibox.fr con dirección IP 51.159.55.16, tratándose de un problema de suplantación de identidad.


Problemática que permite la suplantación

Al momento de revisar la política de DMARC se puede identificar que no se cuenta con este registro creado o publicado.

Realizando una revisión de todos los registros TXT, tampoco de identifica, puedes verlo en el siguiente enlace: DNS Checker – DNS Check Propagation Tool

¿Qué quiere decir esto?

Que la política al no existir no puede hacer nada para prevenir la suplantación de identidad, o lo que es equivalente a entregar los correos electrónicos cuando detecte que provienen de una fuente distinta a las agregadas en los registros SPF.


Recomendaciones

  • Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java, entre otras).
  • Contar con una solución de AntiSpam con características de identificación de Malware.
  • Actualizar y refinar las reglas de seguridad de los AntiSpam y SandBoxing.
  • Realizar concientización permanente para los usuarios sobre este tipo de amenazas.
  • Contar con los registros DNS en los servidores de correo (SPF, DMARC y DKIM)
  • Quedará a consideración, el bloqueo de remitentes de “sat.gob.mx”
  • Aplicar una política de Antimalware en el gestor de Correo electrónico.
  • Aplicar mecanismos AntiSpam que permitan el rechazo de correos en caso de fallo con alineación SPF.

Medios de contacto

¿Quieres mejorar tu postura ciberseguridad? ¡Podemos ayudarte!

Whatsapp: https://wa.me/message/XLMOBC7ABUGAA1

Teléfono: +52 812 672 1298 / +52 812 587 2530

Correo: csirt@iciberseguridad.io


Written by: Equipo de respuesta a incidentes de ciberseguridad

Rate it
Previous post

Similar posts

Post comments (1)

  1. Abraham on December 4, 2022

    Colega,
    En este tipo de informacion, tembien manejas actualizaciones o solo es la noticia principal?
    Me gustaria mucho puedan compartir actualizaciones o algunos links donde se pueda encontrar este tipo de informacion.
    Saludos,

Leave a reply

Your email address will not be published. Required fields are marked *