Campaña suplantación Endesa

ANÁLISIS
El mensaje identificado indica un supuesto imprevisto en el pago de la cuenta de la víctima. El asunto del mismo es Tu Factura de Luz

Dicho correo contiene un archivo malicioso que no se debe abrir bajo ningún concepto. 

El archivo malicioso contiene un zip con un .msi que contacta contra un dominio desde donde descarga otro archivo malicioso. Se asocia el malware con la amenaza de tipo Troyano Mekotio.

Se proporcionan al final del mensaje los Indicadores de Compromisos detectados hasta el momento.

RECOMENDACIONES
•Se debe evitar abrir los documentos adjuntos de fuentes desconocidas, así como clicar en enlaces sospechosos.
•En caso de haberlo hecho, desconectar el usuario de la red y notificar de inmediato.
•Filtrar los IOCs proporcionados.

IOCs

Dominios:
hxxp://gg.abletosnes[.]com/fiche/?endesafichero
hxxp://www.adonis-co[.]com/db/docs/ezemezerodoztwevze.djx

Orígenes:
root@papas[.]com
root@gubens[.]com
root@www.xms[.]com

Hash/Nombre fichero:
74dbeeb86721bdf1872b343e68cd775389f0b3d4a658b7acc97109082c871b4e ezemezerodoztwevze.djx
0e485ad4a02caf5331c0d1e4d30ef9e5876bfa998d83284a0eb4ecc8d7cc3f90 bx-fichero-ES.msi

REFERENCIAS
Inteligencia privada de Lab52