Alerta – Presunta campaña de difusión de Malware – pjedomex.gob.mx

Alerta + Correo electrónico Equipo de respuesta a incidentes de ciberseguridad todayNovember 15, 2022 269

Background
share close
Alerta de seguridad 22ICSPGJEDOMEX-092022
Clase de alerta Campaña de difusión de Malware
Tipo de evento Suplantación de correo
Fecha de lanzamiento 22 de Septiembre de 2022
Última revisión 15 de noviembre de 2022

Notificación

El presente reporte es producto del análisis del equipo de respuesta a incidentes del instituto de ciberseguridad (ERIIC).

Este tipo de alerta no genera o tiene una afectación sobre servicios o ambientes productivos, tampoco involucra un compromiso de la seguridad de la infraestructura interna o externa del Instituto de Ciberseguridad, es una metodología de fraude conocida como Phishing a través de suplantación de identidad.

Resumen

El equipo de respuesta a incidentes del instituto de ciberseguridad (ERIIC), ha identificado una campaña de distribución de Malware.

El mensaje informa a la víctima que tiene una citacion judicial para comparecimiento ante el tribunal de justicia del estado de México.


Asunto del correo:

Poder Judicial del Estado de Mexico DENUNCIA PENAL, Solicitamos su presencia ante el tribunal de justicia. – ( 363671632023 )


Remitente

Los remitentes contienen un patrón de creación para el envío de los correos que se encuentra:

citacion+numeración+(@)pjedomex.gob.mx

POr lo mismo, podría no proveenir desde el mismo correo que mostramos.


Análisis del Correo

El correo electrónico no cuenta con archivos adjuntos, incrusta enlace que redirecciona a una página de sendgrid e inicia la descarga de un archivo:

hxxps://u16089851.ct.sendgrid(dot)net/ls/click?upn=Vmp5e3-2FF2nGX2oILfLCxhX-2FR7U-2BTDzftFOVk26LUDCWq7xdq91rGiLcgBrCgboueqWZTlUR0LvXFPariNSMkmQ-3D-3D2_4m_fzqpUMxJ1qTNib-2FZH-2FhDLQslDeLOOlwQoxFvCkjhk70Z27Arm77co1p5NvZk3sDLKbqPCtXk2PQUmaTIOcy301-2Bfpb4QmtEleYt1KhE76oyxtf6GdAa-2BtwrXEtTUsGLcZCzhCxdAWKLCDUntnkzubGHEWSKPZc-2BE9l3NN2sOV29SKUHTvrohRg7kK1WHRCy7AU9rdMu6CE-2FhupGu54NTAiswg5O78VHvDE78FG7ndt8-3D

La acción

Al momento de acceder al enlace, comienza una descarga de un documento con extensión .zip

 

Mismo que, al realizar un breve análisis por la herramienta Virus total, podemos identificar que su contenido es catalogado como malicioso por sólo algunas herramientas de seguridad

 

Enlace del análisis:

VirusTotal – File – 2e515c8ccbbb0dca681d968dbc4502722db38cd50d0762707fd9f6e4417ada14


Análisis de cabeceras

Al momento de revisar las cabeceras del correo, nos podemos dar cuenta que estos provienen de una entidad distinta, un dominio prod.cloud.linx.com, tratándose de un problema de suplantación de identidad.

 

En la política podemos identificar algo que dice que se encuentra Autenticada pero no alineada al SPF ¿Qué significa esto?

Autenticada: Que la dirección IP desde dónde se está realizando el envío de los correos, se encuentra dada de alta en el registro SPF.

Alineada: Que el envío de los correos se está haciendo desde otro domino a nombre del dominio principal.

En esta imagen anterior, podemos ver de manera más clara cómo lo que mencionabamos respecto a la alineación y autenticación.


Recomendaciones

  • Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java, entre otras).
  • Contar con una solución de AntiSpam con características de identificación de Malware.
  • Adquirir o tener instalado solución Antimalware con detección de comportamiento o EDR.
  • Mantener actualizadas todas las plataformas de tecnologías y de detección de
  • Revisar los controles de seguridad de los AntiSpam y SandBoxing.
  • Realizar concientización permanente para los usuarios sobre este tipo de amenazas.
  • Contar con los registros DNS en los servidores de correo (SPF, DMARC y DKIM)
  • Quedará a consideración, el bloqueo de remitentes de infracciones.edomex.gob.mx
  • Aplicar una política de Antimalware en el gestor de Correo electrónico.
  • Agregar el Hash a los motores de Antimalware que tiene la organización.
  • Aplicar mecanismos AntiSpam que permitan el rechazo de correos

Recomendación por parte del Poder judicial


Medios de contacto

¿Quieres mejorar tu seguridad? ¡Podemos ayudarte!

 

Whatsapp: https://wa.me/message/XLMOBC7ABUGAA1

Teléfono: +52 812 672 1298 / +52 812 587 2530

Correo: csirt@iciberseguridad.io


Written by: Equipo de respuesta a incidentes de ciberseguridad

Rate it
Previous post

Similar posts

Post comments (0)

Leave a reply

Your email address will not be published. Required fields are marked *