Instituto de Ciberseguridad

Alerta – Presunta campaña de difusión de Malware – scjn.gob.mx

enero 16, 2023 - Alerta Correo electrónico

Alerta de seguridad 15ICS-SCJN2023
Clase de alerta Campaña de difusión de Malware
Tipo de evento Suplantación de correo
Fecha de lanzamiento 15 de enero de 2023
Última revisión 15 de enero de 2023
[qt-spacer]

Notificación

El presente reporte es producto del análisis del equipo de respuesta a incidentes del instituto de ciberseguridad (ERIICS).

Este tipo de alerta hace referencia una metodología de fraude conocida como Phishing a través de presunta suplantación de identidad del dominio SCJN.GOB.MX, el cual podría generar una afectación sobre servicios o ambientes productivos o comprometer la seguridad de la infraestructura interna o externa de tu organización.

Resumen

El equipo de respuesta a incidentes del instituto de ciberseguridad (ERIIC), ha identificado una presunta campaña de distribución de Malware.

El mensaje informa a la víctima que ha recibido una notificación para presentarse a una audiencia, en él se adjunta un archivo con terminación .html para descargar los documentos maliciosos.

[qt-spacer]

Asunto y remitente

  • El remitente a diferencia de otros correos es el mismo: notificacion@scjn.gob.mx
  • El asunto del correo analizado: ATENCION – Ultima advertencia

Correo analizado

[qt-spacer]

Análisis del correo

[qt-spacer]

En un breve análisis a través de Virus total, se pueden identificar que varios motores de Antimalware lo identifican como malicioso:

Puedes dar clic aquí para acceder a la información mencionada con anterioridad

Las propiedades del archivo son las siguientes

Algoritmo Hash Valor Hash

MD5

3b45f1414e688b446d6dfc934861ab55

SHA-1

4294c657fe8dde62b81aad0b6f470894cc40a62e

SHA-256

f7ab4062f10f39ad7105557c47216c122924de98660a069ca5faa8c5d5760438
[qt-spacer]

Si quieres analizar el archivo EML, puedes descargarlo aquí:

[qt-spacer size=”xs”]

Vídeo del Análisis

[qt-spacer]

Problemática que permite la suplantación

Al momento de revisar la política de DMARC, cuya política se encuentra definida en “none“.

¿Qué quiere decir esto?

Que la política al estar definida en “none” sólo realizará un monitoreo de los correos que son enviados a nombre del dominio, más no puede hacer nada para prevenir la suplantación de identidad, o lo que es equivalente a entregar los correos electrónicos cuando detecte que provienen de una fuente distinta a las agregadas en los registros SPF.

Esto sin contar que, no se cuenta con un correo agregado al que se puedan enviar notificaciones o reportes cuando se haya detectado una suplantación del dominio.

Tal como se muestra en la imagen.

[qt-spacer]
[qt-spacer]

Recomendaciones

  • Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java, entre otras).
  • Contar con una solución de AntiSpam con características de identificación de Malware.
  • Actualizar y refinar las reglas de seguridad de los AntiSpam y SandBoxing.
  • Realizar concientización permanente para los usuarios sobre este tipo de amenazas.
  • Contar con los registros DNS en los servidores de correo (SPF, DMARC y DKIM)
  • Quedará a consideración, el bloqueo de remitentes de “scjn.gob.mx”
  • Aplicar una política de Antimalware en el gestor de Correo electrónico.
  • Aplicar mecanismos AntiSpam que permitan el rechazo de correos en caso de fallo con alineación SPF.
[qt-spacer]

Medios de contacto

¿Quieres mejorar tu postura ciberseguridad? ¡Podemos ayudarte!

Whatsapp: https://wa.me/message/XLMOBC7ABUGAA1

Teléfono: +52 812 672 1298 / +52 812 587 2530

Correo: csirt@iciberseguridad.io

[qt-spacer]

2 Comments

enero 16, 2023

Carmen Barrera

Que problemas podría tener si este correo fue abierto en in Iphone

    enero 16, 2023

    Jesus Alejandro Rizo Rivera

    El correo, no pasa nada, sin embargo, los archivos que se encuentran adjuntos suelen contener malware y podrían infectar tu dispositivo, permitiendo a un atacante controlarlo y obtener información de este, aunque para eso se requeriría que abras el archivo, y le des permisos para editar dicho archivo.

Comments are closed.