Campaña de phishing contra la DGT

ANÁLISIS

El mensaje identificado notifica de un supuesta multa pendiente de ser ingresada y proporciona un link para tramitarla. El asunto del mismo es PAGA TU MULTA. Dicho correo contiene enlaces maliciosos que no se deben abrir bajo ningún concepto.   El enlace malicioso se conecta a un servicio de almacenamiento de ficheros online para descargar un .zip que contiene un .msi. El malware tiene similitudes con campañas de Mekotio (troyano bancario) Se proporcionan al final del mensaje los Indicadores de Compromisos detectados hasta el momento.  

RECOMENDACIONES

Se debe evitar abrir los documentos adjuntos de fuentes desconocidas, así como clicar en enlaces sospechosos. En caso de haberlo hecho, desconectar el usuario de la red y notificar de inmediato. Filtrar los IOCs proporcionados.  

IOCs

Dominios: hxxps://fs03n4.sendspace[.]com/dlpro/e723df74a3a453a832122d8428d35ad4/5eb8efec/if0xhw/All-AGT.zip hxxp://www.chmsc.edu[.]ph/run/esquarentaesix.tdr Orígenes: root@auto[.]com Hash/Nombre fichero: 3a02ebba270b323cda0a1a45e9031d72 All-AGT.msi    

REFERENCIAS

Inteligencia privada de Lab52