Notificación

El presente reporte es producto del análisis del equipo de respuesta a incidentes del instituto de ciberseguridad (ERIICS).

Este tipo de alerta hace referencia una metodología de fraude conocida como Phishing a través de una presunta suplantación de identidad del dominio telmex.com.mx, el cual podría generar una afectación sobre servicios o ambientes productivos o comprometer la seguridad de la infraestructura interna o externa de tu organización.

Resumen

El equipo de respuesta a incidentes del instituto de ciberseguridad (ERIIC), ha identificado una presunta campaña de distribución de Malware.

El mensaje informa a la víctima que ha recibido un comprobante fiscal digital, en él se adjunta un archivo con terminación .pdf y enlaces para la descarga de los documentos maliciosos en caso de ser detectado y puesto en cuarentena el archivo descargado.

Asunto y remitente

• El presunto remitente es: factura@telmex.com.mx (El dominio tiene redirección al dominio telmex.com)
• El asunto del correo analizado: Telmex Factura – Le enviamos su CFDI (947167)

El numeral incluido en el asunto, cambia de manera contante con base se envía un correo nuevo.

Análisis del archivo

El correo electrónico cuenta con archivos adjuntos con terminación .PDF

Aunque este es detectado por los motores de Antimalware de correo electrónico de Microsoft, evitando su descarga y ejecución

Análisis del correo

Se puede observar que, a través de las cabeceras, no se cuenta con la autenticación ni alineado a los registros SPF o DKIM y el envío de correos se realiza desde un servidor de OVH: vps-b7ac81cf.vps.ovh.ca (149.56.108.242)

Sha 256 del documento: aa7760c5ebc4668bbdd9765c7017d9fc712e27b28f43478aab44e4aec3605c52

Problemática que permite la suplantación

Al momento de revisar la política de DMARC, así como SPF se puede identificar que no se cuenta con estos registros creados o publicados.

Realizando una revisión de todos los registros TXT, tampoco de identifica, puedes verlo en el siguiente enlace: DNS Checker – DNS Check Propagation Tool

¿Qué quiere decir esto?

Al no existir registro SPF o DMARC no se contarían con mecanismos de protección contra suplantación de identidad de dominio, por lo probablemente el dominio telmex.com.mx está siendo suplantado.

¿Qué son estos registros?

El Registro SPF es: un registro DNS público que contiene la información de los nombres de HOST o direcciones IP que pueden enviar correos electrónicos en nombre del dominio, estos son especificados por el propietario del dominio.

El Registro DMARC: Es un registro DNS público que ayudará saber a los servidores destinatarios qué hacer en caso de que el remitente no se encuentre autenticado en los registros SPF. Dentro de estas acciones se encuentran:

• Nada
• Rechazar el correo
• Ponerlo en cuarentena

Además de que permite darnos una visión desde dónde se envían correos a nombre del dominio.

Recomendaciones

• Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java, entre otras).
• Contar con una solución de AntiSpam con características de identificación de Malware.
• Actualizar y refinar las reglas de seguridad de los AntiSpam y SandBoxing.
• Realizar concientización permanente para los usuarios sobre este tipo de amenazas.
• Contar con los registros DNS en los servidores de correo (SPF, DMARC y DKIM)
• Quedará a consideración, el bloqueo de remitentes de dominio “telmex.com.mx”
• Aplicar una política de Antimalware en el gestor de Correo electrónico.
• Aplicar mecanismos AntiSpam que permitan el rechazo de correos en caso de fallo con alineación SPF.
• Generar una estrategia de protección contra amenazas de correo electrónico

Medios de contacto

¿Quieres mejorar tu postura ciberseguridad? ¡Podemos ayudarte!

Whatsapp: https://wa.me/message/XLMOBC7ABUGAA1

Teléfono: +52 812 672 1298 / +52 812 587 2530

Correo: csirt@iciberseguridad.io