| Alerta de seguridad | 24ICS-ariba01023 |
| Clase de alerta | Campaña de difusión de Malware |
| Tipo de evento | Suplantación de correo |
| Fecha de lanzamiento | 24 de enero de 2023 |
| Última revisión | 24 de enero de 2023 |
phone¿Estás bajo ataque? Llámanos: +52 812 587 2530
Alerta – Presunta campaña de difusión de Malware – ariba.org.mx
Notificación
El presente reporte es producto del análisis del equipo de respuesta a incidentes del instituto de ciberseguridad (ERIICS).
Este tipo de alerta hace referencia una metodología de fraude conocida como Phishing a través de presunta suplantación de identidad del dominio www.ariba.com, el cual podría generar una afectación sobre servicios o ambientes productivos o comprometer la seguridad de la infraestructura interna o externa de tu organización.
Resumen
El equipo de respuesta a incidentes del instituto de ciberseguridad (ERIIC), ha identificado una presunta campaña de distribución de Malware.
El mensaje informa a la víctima que ha recibido una notificación para presentarse a una audiencia, en él se adjunta un archivo con terminación .zip para descargar los documentos maliciosos.
Asunto y remitente
- El remitente a diferencia de otros correos es el mismo: facturas@ariba.org.mx
- El asunto del correo analizado: [Banco Mercantil del Norte, S.A.] Factura Ariba Network.
Correo analizado
Análisis del correo
Cabeceras de correo electrónico
Como se puede apreciar en la imagen, desde dónde se está enviando el correo electrónico, no cuenta con autenticación, así como autorización SPF o DKIM.
Si quieres analizar la cabecera y los archivos adjuntos, puedes descargarlo aquí:
Infraestructura de envío
Estos correos electrónicos son enviados utilizando la siguiente infraestructura de envío:
FQDN: sd-106366.dedibox.fr
Dirección IP: 163.172.62.76
Archivos adjuntos
El correo adjunto es un archivo .ZIP que tiene por nombre: Archivo_notificacion_Factura.zip, este documento incluye un archivo con extensión .html que redirige a la descarga de un archivo .zip que a su vez tiene un ejecutable, al analizar este ejecutable podemos identificarlo como malicioso.
En un breve análisis a través de Virus total, se pueden identificar que varios motores de Antimalware lo identifican como malicioso:
Puedes dar clic aquí para acceder a la información mencionada con anterioridad
Las propiedades del archivo son las siguientes
| Algoritmo Hash | Valor Hash |
|
MD5 |
674dea8311b1c84c58057614a0bdd2e7 |
|
SHA-1 |
122e2bf3b86dd8798fc58e14f170d6da4de20fc1 |
|
SHA-256 |
39bec8d26cf7f7eecc15393ae1b73d8bd86ec429fbc70bc3863faef53be3d7f7 |
Problemática que permite la suplantación
El registro DMARC no se encuentra creado en el dominio.
Recomendaciones
- Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java, entre otras).
- Contar con una solución de AntiSpam con características de identificación de Malware.
- Actualizar y refinar las reglas de seguridad de los AntiSpam y SandBoxing.
- Realizar concientización permanente para los usuarios sobre este tipo de amenazas.
- Contar con los registros DNS en los servidores de correo (SPF, DMARC y DKIM)
- Quedará a consideración, el bloqueo de remitentes de “facturas@ariba.org.mx”
- Quedará a consideración, el bloqueo de los datos mencionados en el apartado de Infraestructura de envío:
- FQDN: sd-106366.dedibox.fr
- Dirección IP: 163.172.62.76
- Aplicar una política de Antimalware en el gestor de Correo electrónico.
- Aplicar mecanismos AntiSpam que permitan el rechazo de correos en caso de fallo con alineación SPF.
Medios de contacto
¿Quieres mejorar tu postura ciberseguridad? ¡Podemos ayudarte!
Whatsapp: https://wa.me/message/XLMOBC7ABUGAA1
Teléfono: +52 812 672 1298 / +52 812 587 2530
Correo: csirt@iciberseguridad.io
Previous post
insert_link
share
close
Alerta – Presunta campaña de difusión de Malware – www.bb.com.mx
Alerta de seguridad 19ICS-BanBajio2023 Clase de alerta Campaña de difusión de Malware Tipo de evento Suplantación de correo Fecha de lanzamiento 19 de enero de 2023 Última revisión 19 de [...]
Post comments (0)