Instituto de Ciberseguridad

Alerta – Presunta campaña de difusión de Malware – www.bb.com.mx

enero 19, 2023 - Alerta Correo electrónico

Alerta de seguridad 19ICS-BanBajio2023
Clase de alerta Campaña de difusión de Malware
Tipo de evento Suplantación de correo
Fecha de lanzamiento 19 de enero de 2023
Última revisión 19 de enero de 2023
[qt-spacer]

Notificación

El presente reporte es producto del análisis del equipo de respuesta a incidentes del instituto de ciberseguridad (ERIICS).

Este tipo de alerta hace referencia una metodología de fraude conocida como Phishing a través de presunta suplantación de identidad del dominio bb.com.mx, el cual podría generar una afectación sobre servicios o ambientes productivos o comprometer la seguridad de la infraestructura interna o externa de tu organización.

Resumen

El equipo de respuesta a incidentes del instituto de ciberseguridad (ERIIC), ha identificado una presunta campaña de distribución de Malware.

El mensaje informa a la víctima que ha recibido una notificación para presentarse a una audiencia, en él se adjunta un archivo con terminación .doc para descargar los documentos maliciosos.

[qt-spacer]

Asunto y remitente

  • El remitente a diferencia de otros correos es el mismo: banbajioinforma@bb.com.mx
  • El asunto del correo analizado: —==<< BajíoNET >>==—. S.P.E.I.

Correo analizado

[qt-spacer]

Análisis del correo

Correo analizado

[qt-spacer]

En un breve análisis a través de Virus total, se pueden identificar que varios motores de Antimalware lo identifican como malicioso:

Puedes dar clic aquí para acceder a la información mencionada con anterioridad

Las propiedades del archivo son las siguientes

Algoritmo Hash Valor Hash

MD5

1f7719cf05b01896ddfe6470dfd0a117

SHA-1

85c8a31164eab9972500f49f312a480188296d2c

SHA-256

5821d2a1ada0bc1061f92237b6d0ccbc0346985054fa67d3ff38781709f8d3b7
[qt-spacer]

Infraestructura de envío

Estos correos electrónicos son enviados utilizando la siguiente infraestructura de envío:

FQDN: server2.open-mind.ws

Dirección IP: 162.243.109.74

[qt-spacer]

Si quieres analizar el archivo EML, puedes descargarlo aquí:

[qt-spacer size=”xs”]

Problemática que permite la suplantación

La política DMARC incluye poner en cuarentena los corres que sean enviados desde servidores no encontrados en el registro SPF, sin embargo, sólo analiza el 75%, dejando en probabilidad que los correos que llegaron pertenezcan al 25% restante que no es analizado o que no pasa por la política DMARC, sin embargo, habría que realizar una verificación de estos más a fondo para determinar y encontrar el posible problema.

[qt-spacer]
[qt-spacer]

Recomendaciones

  • Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java, entre otras).
  • Contar con una solución de AntiSpam con características de identificación de Malware.
  • Actualizar y refinar las reglas de seguridad de los AntiSpam y SandBoxing.
  • Realizar concientización permanente para los usuarios sobre este tipo de amenazas.
  • Contar con los registros DNS en los servidores de correo (SPF, DMARC y DKIM)
  • Quedará a consideración, el bloqueo de remitentes de banbajioinforma@bb.com.mx
  • Quedará a consideración, el bloqueo de los datos mencionados en el apartado de Infraestructura de envío: 
    • FQDN: server2.open-mind.ws
    • Dirección IP: 162.243.109.74
  • Aplicar una política de Antimalware en el gestor de Correo electrónico.
  • Aplicar mecanismos AntiSpam que permitan el rechazo de correos en caso de fallo con alineación SPF.
[qt-spacer]

Medios de contacto

¿Quieres mejorar tu postura ciberseguridad? ¡Podemos ayudarte!

Whatsapp: https://wa.me/message/XLMOBC7ABUGAA1

Teléfono: +52 812 672 1298 / +52 812 587 2530

Correo: csirt@iciberseguridad.io

[qt-spacer]