Notificación

El presente reporte es producto del análisis del equipo de respuesta a incidentes del instituto de ciberseguridad (ERIICS).

Este tipo de alerta hace referencia una metodología de fraude conocida como Phishing a través de presunta suplantación de identidad del dominio SCJN.GOB.MX, el cual podría generar una afectación sobre servicios o ambientes productivos o comprometer la seguridad de la infraestructura interna o externa de tu organización.

Resumen

El equipo de respuesta a incidentes del instituto de ciberseguridad (ERIIC), ha identificado una presunta campaña de distribución de Malware.

El mensaje informa a la víctima que ha recibido una notificación para presentarse a una audiencia, en él se adjunta un archivo con terminación .html para descargar los documentos maliciosos.

Asunto y remitente

• El remitente a diferencia de otros correos es el mismo: notificacion@scjn.gob.mx
• El asunto del correo analizado: ATENCION – Ultima advertencia

Análisis del correo

En un breve análisis a través de Virus total, se pueden identificar que varios motores de Antimalware lo identifican como malicioso:

Puedes dar clic aquí para acceder a la información mencionada con anterioridad

Las propiedades del archivo son las siguientes

Problemática que permite la suplantación

Al momento de revisar la política de DMARC, cuya política se encuentra definida en “none“.

¿Qué quiere decir esto?

Que la política al estar definida en “none” sólo realizará un monitoreo de los correos que son enviados a nombre del dominio, más no puede hacer nada para prevenir la suplantación de identidad, o lo que es equivalente a entregar los correos electrónicos cuando detecte que provienen de una fuente distinta a las agregadas en los registros SPF.

Esto sin contar que, no se cuenta con un correo agregado al que se puedan enviar notificaciones o reportes cuando se haya detectado una suplantación del dominio.

Tal como se muestra en la imagen.

Recomendaciones

• Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java, entre otras).
• Contar con una solución de AntiSpam con características de identificación de Malware.
• Actualizar y refinar las reglas de seguridad de los AntiSpam y SandBoxing.
• Realizar concientización permanente para los usuarios sobre este tipo de amenazas.
• Contar con los registros DNS en los servidores de correo (SPF, DMARC y DKIM)
• Quedará a consideración, el bloqueo de remitentes de “scjn.gob.mx”
• Aplicar una política de Antimalware en el gestor de Correo electrónico.
• Aplicar mecanismos AntiSpam que permitan el rechazo de correos en caso de fallo con alineación SPF.

Medios de contacto

¿Quieres mejorar tu postura ciberseguridad? ¡Podemos ayudarte!

Whatsapp: https://wa.me/message/XLMOBC7ABUGAA1

Teléfono: +52 812 672 1298 / +52 812 587 2530

Correo: csirt@iciberseguridad.io