Campaña de phishing contra el Tribunal de Cuentas

ANÁLISIS

El mensaje identificado proporciona un mensaje en el que se proporciona una supuesta bienvenida e invitación a recibir información de la tesorería. El asunto del mismo es TCU INFORMA. Dicho correo contiene enlaces maliciosos que no se deben abrir bajo ningún concepto. El enlace malicioso se conecta a un servicio de almacenamiento de ficheros online para descargar un .msi. Se proporcionan también los Indicadores de Compromisos detectados hasta el momento.  

RECOMENDACIONES

Se debe evitar abrir los documentos adjuntos de fuentes desconocidas, así como clicar en enlaces sospechosos. En caso de haberlo hecho, desconectar el usuario de la red y notificar de inmediato. Filtrar los IOCs proporcionados.

IOCs

Dominios: hxxp://wzanoni.com[.]br/tmp/dcx/ hxxp://www.chmsc[.]edu.ph/out/esquarentaeeight.djx Orígenes: root@valorant[.]net Hash/Nombre fichero: 274bf1af79ead283771b4ed45d6117e1 EURx-Es.msi    

REFERENCIAS

Inteligencia privada de Lab52