| Alerta de seguridad | 15ICS-SCJN2023 |
| Clase de alerta | Campaña de difusión de Malware |
| Tipo de evento | Suplantación de correo |
| Fecha de lanzamiento | 15 de enero de 2023 |
| Última revisión | 15 de enero de 2023 |
Notificación
El presente reporte es producto del análisis del equipo de respuesta a incidentes del instituto de ciberseguridad (ERIICS).
Este tipo de alerta hace referencia una metodología de fraude conocida como Phishing a través de presunta suplantación de identidad del dominio SCJN.GOB.MX, el cual podría generar una afectación sobre servicios o ambientes productivos o comprometer la seguridad de la infraestructura interna o externa de tu organización.
Resumen
El equipo de respuesta a incidentes del instituto de ciberseguridad (ERIIC), ha identificado una presunta campaña de distribución de Malware.
El mensaje informa a la víctima que ha recibido una notificación para presentarse a una audiencia, en él se adjunta un archivo con terminación .html para descargar los documentos maliciosos.
Asunto y remitente
- El remitente a diferencia de otros correos es el mismo: notificacion@scjn.gob.mx
- El asunto del correo analizado: ATENCION – Ultima advertencia
Correo analizado
Análisis del correo
En un breve análisis a través de Virus total, se pueden identificar que varios motores de Antimalware lo identifican como malicioso:
Puedes dar clic aquí para acceder a la información mencionada con anterioridad
Las propiedades del archivo son las siguientes
| Algoritmo Hash | Valor Hash |
|
MD5 |
3b45f1414e688b446d6dfc934861ab55 |
|
SHA-1 |
4294c657fe8dde62b81aad0b6f470894cc40a62e |
|
SHA-256 |
f7ab4062f10f39ad7105557c47216c122924de98660a069ca5faa8c5d5760438 |
Si quieres analizar el archivo EML, puedes descargarlo aquí:
Problemática que permite la suplantación
Al momento de revisar la política de DMARC, cuya política se encuentra definida en “none“.
¿Qué quiere decir esto?
Que la política al estar definida en “none” sólo realizará un monitoreo de los correos que son enviados a nombre del dominio, más no puede hacer nada para prevenir la suplantación de identidad, o lo que es equivalente a entregar los correos electrónicos cuando detecte que provienen de una fuente distinta a las agregadas en los registros SPF.
Esto sin contar que, no se cuenta con un correo agregado al que se puedan enviar notificaciones o reportes cuando se haya detectado una suplantación del dominio.
Tal como se muestra en la imagen.
Recomendaciones
- Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java, entre otras).
- Contar con una solución de AntiSpam con características de identificación de Malware.
- Actualizar y refinar las reglas de seguridad de los AntiSpam y SandBoxing.
- Realizar concientización permanente para los usuarios sobre este tipo de amenazas.
- Contar con los registros DNS en los servidores de correo (SPF, DMARC y DKIM)
- Quedará a consideración, el bloqueo de remitentes de “scjn.gob.mx”
- Aplicar una política de Antimalware en el gestor de Correo electrónico.
- Aplicar mecanismos AntiSpam que permitan el rechazo de correos en caso de fallo con alineación SPF.
Medios de contacto
¿Quieres mejorar tu postura ciberseguridad? ¡Podemos ayudarte!
Whatsapp: https://wa.me/message/XLMOBC7ABUGAA1
Teléfono: +52 812 672 1298 / +52 812 587 2530
Correo: csirt@iciberseguridad.io
2 Comments
Comments are closed.
Carmen Barrera
Que problemas podría tener si este correo fue abierto en in Iphone
Jesus Alejandro Rizo Rivera
El correo, no pasa nada, sin embargo, los archivos que se encuentran adjuntos suelen contener malware y podrían infectar tu dispositivo, permitiendo a un atacante controlarlo y obtener información de este, aunque para eso se requeriría que abras el archivo, y le des permisos para editar dicho archivo.