Ministerio del Interior y Seguridad Pública Página 1 de 11

Alerta de seguridad cibernética 2CMV20-00078-01

Clase de alerta Fraude

Tipo de incidente Malware

Nivel de riesgo Alto

TLP Blanco

Fecha de lanzamiento original 21 de Agosto de 2020

Última revisión 21 de Agosto de 2020

NOTIFICACIÓN La información consignada en el presente informe es producto del análisis de múltiples fuentes, de terceras partes e investigación propia del equipo CSIRT. La información contenida en los informes o comunicados está afecta a actualizaciones, por lo cual se recomienda establecer una cuarentena preventiva respecto de los IoC mencionados, previa evaluación de impacto en servicios productivos; una vez que sus plataformas de monitoreo no detecten actividad maliciosa, se debe evaluar la posibilidad de liberar del bloqueo a los IoC consignados en el reporte respectivo, tales como servicios de hosting, de cloud o similares. Estos casos de phishing no involucran directamente a las entidades ni al sistema bancario, sino que son técnicas de fraude indirecto, en las que en infraestructura externa a éstas se arma el mencionado phishing, para construir el engaño. Las entidades, en general, al tomar conocimiento de estos portales maliciosos articulan, dentro de sus potestades y marco legal vigente, las acciones necesarias para poder desarticularlos, pero ciertamente los usuarios también estamos llamados a estar atentos a estos intentos de engaño.

Resumen El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT), comparte una serie de

Indicadores de Compromiso (IoC) obtenidos del análisis realizado a múltiples campañas de phishing

con archivos adjuntos que contienen malware, los que están circulando en el ciberespacio nacional

y representan un riesgo para los sistemas informáticos, así como para los usuarios en general.

CSIRT recomienda a los administradores y usuarios bloquear los hash publicados en este informe, y mantener un permanente monitoreo sobre el resto de los Indicadores de Compromiso.

Alerta de Seguridad Cibernética

Ministerio del Interior y Seguridad Pública Página 2 de 11

Observación Solicitamos tener en consideración las señales de compromiso en su conjunto.

IoC hash Hash SHA-256

a216c66916b1545f95644ef375e0f9894ebba38998e632582063b64bb74bb169

a2ea265a9257b4838f7adbbce5d5d5494a12c2ff66a26d9fc3030fc3431cebe2

a3ec4a56508b814b80cc791c6f7cc251bdc6e4d2592c046f905c2f659d20a7b3

a6135b30cbc1cc786960bb9c320c6e2df591e4fddc11f67c389349b8506f959b

a6c0f9b77a2740ff615cb245fce18051af9e8f3be6f8e11512279f1abc121cd4

a75781e029b1051c7168ab50fd36792d8e149fa2344994d90308afc7e63ec866

a812657d14a3e18ca7e96d7986dcabd377bf56ddc9c1359e1b6112b583b8a89a

a986251056a67f345ae1b5a8928aa1a8f9c9e6cd2519913014b61a02eafe16f9

ac896b2be5a0a1a05c9ff239082d43087ee6e4ae439b561a4489c2583d025178

acc878602a29c20c87bdd97cc27d95acf6ce0557bd242c35ac314b327652a22e

ae8e0b13f8a5e5b92a659fa5609b31a27b976210d50d3bc6f1e3c3cebb292519

b382af1fadca4fbcb608cdd77fccf75e8d583339d2537004a74d75ebbbea8d80

b3d8419b96db87d8416a91d7be1f661c3b324d96333efc8acba755886c64216e

b459dd6e496e7bad05c6e8b3d2da29527350cb378a3f975cdfcc26800437ca5e

b4698e332c50be4a586c6dfd08b25e028cf946e36d9c33e90e933972a40340c7

b676f116782d4c1cffafe5e7b1a976aa78e2fdda6485cfa504c75aa204eaa456

b966d68a09e76ebfbef2316ee317f0a888228466bdc7c117ef8f720a59f5eb3e

bcec740185af19805b96a2a510bf2e824d2c3dd65c58866cc013ce08b8648e6d

bfecfe6abbd2c89807edd60e91a6826c02cde73ca91a7913bad15788f962b349

c801b5d6d37d82d2b092c24f4cabebc5d3ec65e692100308a925fbaf03956f70

c940432dc1875cdb1adfbda4eb2c3a23b3a10fd0a53cf12cc32e79389120b5d8

c9c48ce3b5223bf7e806d210c38ab6e3afc01b30ef9b733f57ef9e97efd1de21

cbec17d1894fbebe556403307dc63ae618b3b945b718b16da2a6d1563af0f666

ccb9e432d2d420d940e49bd1284bdf3481026065713e2b97ef76d9eb497e6395

ce7f5157d0128d0740ec074ee8db6dd03e234c410111f7aa6832f7adc820cfe0

d13d3acdbc6e386bfbec79ae268ad3861446d12fab83f6a4232a1b14052561e1

d27a2d2d7d79ac94d25d245dbde58decc78089b56c1806894d7f8090f62e5fe2

d328fbbc3e82b9e2db08fbfcc9d4554921637299f82f0cd330253529ba130219

d3901934239776469481616d1ded5e96d8b8781307fd38cbffa4a1bc0b92cb43

d551c7110c0181f84537e3409a1adba4a5ea0f98caa90475c6ce740e2c3fa9c6

db532f530a3c0922c028cff817afb07a9e082ec260a37750a8af82739e8e8ba8

Ministerio del Interior y Seguridad Pública Página 3 de 11

dcded4a1b93a27d30e83ca787f7bde852b5d80ca9f941ab5d29af7263ca11e08

de772bac27d64c51c3420ee073c6c9a53771ec8c27900c39522b8ba9a732722a

e5da2bc79938c38b6d1deb7265a10cef4adb6664addab2bc3739942b0a0d0d34

eac2ef6babf8ef83b1d3950d9091c0fb3c9977734c81523a9211956563a300d0

eb4bebca6e7d1ed155e573b6ce97b501ae48c1544107f521981dfe557bc4b6de

ebf3882fc3552ee25191b706c94ec2567d1e45467048c7182c3cd8fde34cd4cd

edb53654871bde80362308ef063892e7df23d5a3d9ce167c4ce987c0564f4c57

ee7fba4103591bdb24625094a6325f7d1bc7371f7e5a4c119cdcfe56a88ec967

eedf0291af2468dea74d6c4c30d3c436737a502a75bb1c9497cb529b411f6068

ef9c7e7d7d872b54ba6de8f1a28f0ce2ccea1407d48664032b324424288497f5

f0a8ac44de88e568c8758ef8d4c1fc77b88d80a19045c8b48676c7f7714cb615

f3092f2cf392bf2453c4c0867d573d34ab955e38816d11a7a7bd2110bf2901eb

f466af9257c6492658775f9207475ee9abd7aeaa8d5c3a3e4e9a2056e8b9a8ef

f5c07a325dff482cc5d1122c4566ff7b8fb3bbec06212967aa4445118954d739

f61e24090b0e8d9485e96d28437c8938a022902b9bf4824957415f54944cfa24

f7f068e1159d2fdfc8a75bdbbf80d202f66dba0cd5af6725b1113c0d8ee3c23d

fb96e817b370c719a89d40457921fb5f2a2072b314c56a0c60c00d085c9e7b64

fc815c7682f65012812ff81b7ff51adad323964af44f809b850ec13231edd6a7

Ministerio del Interior y Seguridad Pública Página 4 de 11

IoC Descarga malware Urls

hxxp://sathobby[.]com/wp-admin/LJin/

hxxp://mandatory7hrsvideochatwithourkids[.]com/wp-admin/NAhXS/

hxxp://playschoolmatritva[.]com/cgi-bin/Y/

hxxp://orthowise[.]us/vendor/4Fy928/

hxxp://helpmepayless[.]com/wp-includes/pcfQhqb/

hxxp://www[.]mgcae[.]com/fonts/KNnEVB/

hxxp://potosyter[.]com/wp-admin/EE/

hxxp://eventos[.]alfatravel[.]com[.]br/wp-content/2tnkigye5-0712665/

hxxp://avtoshoolvsa[.]zt[.]ua/bin/tz22-0001750/

hxxps://concrefiber[.]com[.]br/dup-installer-/tsW/

hxxps://bomacargo[.]id/bomacargo[.]id/wkdaILRRX/

hxxps://humido[.]pl/wp-includes/XvlAFTYy/

hxxps://gpmrglobal[.]com/08[.]07[.]2020/xVhK6le0e58169/

hxxp://maticshosting[.]info/wp/8FEjm2v11576/

hxxp://shobdomela[.]com/sjwt9/glzfny3k0366/

hxxp://fhcigars[.]com/xxki_5q3t_2pc87c/FILE/44f3fx36/1c3c686033094379b0v5u1mvrdo35/

hxxp://dualstudio[.]com[.]mx/esp/Reporting/or2cl35n/pbv816421622239adu6oq6va9inz/

hxxp://yourstrulycosmetics[.]ca/temp/sites/

hxxp://ddsfitnesspro[.]com/css/eTrac/

hxxp://amazingsales[.]in/wp-content/paclm/zxl1afek9/6gw75997961poeifhw6mw8s/

hxxp://biotek[.]fsm[.]undip[.]ac[.]id/v1/56545986286981716/

hxxps://vayron[.]cc/wp-includes/eTrac/avt8iaxzbb/

hxxp://billingup[.]com/wp-admin/balance/s8n384ejblt/epu98571666978jq2k4s8wez/

hxxp://99tv[.]in/js/closed_section/guarded_cloud/42447387423_65vkonm0HcBZ/ hxxp://lambers[.]in/wp-admin/NTcRd5Y95F_goFnIRFP5KaT4q_module/security_cloud/5WKpD5syxW_gfH95xKI/ hxxp://mlm[.]lifecapturevision[.]com/js/6974077340729_97SzImzKWBzHIo_resource/open_mgkukr7a_znfeug58a/95uuvmvpvjlkt1u_x3xtv/ hxxp://inssurance[.]binarywebtechsolutions[.]com/cgi-bin/multifunctional-module/guarded-warehouse/EcoIE3FLO-tL8qu2z7y3zap/ hxxp://bluetechprism[.]com/css/9zWF1bV_EzUmPytyJH5nFH6_sector/individual_n8i69k9xbanwxg_cnav2o/549242_o6OPbP/

hxxp://secondguardian[.]me/temp/protected_zone/external_forum/631262_vWOwhw7xbNuvU/

hxxp://logicwald[.]com/cov19/multifunctional-dgA12uWE4-N2G6AxH/close-space/pi1pj0-89txs0/

hxxp://globaliaespacios[.]com/wp-includes/OXjBq028664/

hxxp://lupusalimentos[.]com[.]br/assinatura/ooJNJihAvv/

hxxps://maniot[.]com/TN3611948/

hxxps://mickreevesmodels[.]co[.]uk/micks_chat/bzqL9/

Ministerio del Interior y Seguridad Pública Página 5 de 11

hxxp://markantes[.]com/jason/QuPn889/

hxxp://destilaria[.]tv/sites/jqty4a2u9-00502/

hxxp://mountolyumpuss[.]com/cgi-bin/gDTZA///

Ministerio del Interior y Seguridad Pública Página 6 de 11

IoC nombre de archivo Nombres de Archivos con Malware

11 UA.doc LO3329963649BZ.doc

2020-08-19 Fra. 34 HI.doc LT25AB 303-4.zip 2020-08-19 Fra. PK36-1891 KX4483996.doc MV SHENG SHI 041 PARTICULARS.xlsm 2020-08-19 Fra. UX62-129 SI2833.doc N.37396_0006 20.08.2020.doc

20201908_45252_0005.doc N.52245_0009 19.08.2020.doc

20201908_587006828.doc N.UJ37-9148 XS9118652 19.08.2020.doc

20201908_QD 98-9170.doc N.VV 69-798215 20.08.2020.doc

20202008_857616.doc New Tender 32-29-1441.zip

2020S00022021.doc NMJ-080120 LWB-081920.doc

327302 factura agosto.doc OVZG24992428340807318.doc

47-5-4534581.doc Payment Advice Note UN-000055878.doc

64-0-38722765.doc Payment Advice Note.doc 750DM20031 CI.PDF______________.gz Payment copy.zip

82-7-1395221.doc Payment Swift tt Confirmation $100,800 & $191,600 (Total $292,400).gz

82951_0009.doc Perfil de la compañÃa.zip

915837.doc PO # 480084832.rar

AJ 29-44489.doc PO 198229156.gz

Alb. 28472969.doc PO 71-77459960.doc

Alb. 45-5-84514314.doc PO# 08192020.doc

ANA-080120 ILZ-081920.doc PO# 08202020.doc APDQ-879529 Medical report Covid-19.doc PO# 08202020Ex.doc

AQ 23-9966491.doc PO.gz

ARRIVAL NOTICE & INVOICE.r00 PO___________.gz

Atlantic UK.7z PO09.zip

AVB-080120 JNP-082020.doc PO-August.xlsx BA-16328 Medical report COVID-19.doc Portcall No & Vessel Voyage.xlsm

Bank details.rar profile 957983-08.2020.do

Contract_637506363.zip PuchaseOrder-PDF.zip

COVID-19 report 08 20 2020.doc Purchase Order.cab

CVN-080120 NCJ-081920.doc Q20 054 R3.gz

Ministerio del Interior y Seguridad Pública Página 7 de 11

CZ-3146 Medical report Covid-19.doc QCH64732BS.doc

DF13534 190820.doc QV67-5345 OO61848 factura agosto.doc

ED 37-1043649.doc Shipping Documents.gz

EEZJ-080120 XJKVCP-081920.doc Shipping Documents.PDF.cab

Electronic_Invoice#847.htm Shipping Documents_______________.gz

FACT. 49-6-8359687.doc SS8390361822KL.doc

Form - Aug 19, 2020.doc SV4109234469RT.doc

FWM-080120 DRG-082020.doc Swift Invoice.PDF.cab

GAF-080120 SET-082020.doc TA4102014676GG.doc

GQ9908336664JZ.doc TDK-080120 NVT-081920.doc

Image010.gz TI 47-5387 factura agosto.doc

Info.doc UA0672926181ZD.doc

INV-20200818.HTM UEG-080120 XOB-081920.doc

IQO-080120 SUY-081920.doc XJY-080120 VIP-081820.doc

IUR15894QQCN.doc YRN-080120 GNY-082020.doc KT-9594 Medical report COVID-19.doc LAD-080120 JQBQQI-081920.doc LG 81-456252.doc

Ministerio del Interior y Seguridad Pública Página 8 de 11

IoC servidor smtp

42.112.212.140 153.138.237.14 196.40.106.50 67.227.153.15

45.114.142.143 153.138.237.20 196.41.32.110 67.23.249.60

45.153.240.110 153.138.237.22 198.38.85.79 69.64.72.63

74.202.142.130 153.138.238.18 200.58.101.2 74.208.4.201

85.214.140.229 153.149.141.12 200.58.101.217 81.88.58.161

94.175.213.178 153.153.62.104 200.58.101.41 82.96.101.120

98.142.235.166 153.153.62.106 200.58.101.76 85.182.218.67

103.253.212.176 153.153.66.14 200.6.246.3 88.218.16.246

104.168.143.202 153.153.66.16 201.48.199.75 91.190.36.9

118.179.155.140 153.153.67.15 201.76.49.248 94.101.230.9

153.149.140.164 157.230.24.67 202.12.8.120 94.20.94.143

162.210.103.162 170.10.161.109 202.54.227.221 162.214.123.169 170.155.221.1 203.167.7.42 172.104.161.149 172.93.123.4 203.82.48.11 192.119.111.171 176.9.190.18 204.93.196.200 192.119.111.171 181.41.242.5 207.58.161.204 192.185.148.109 185.169.53.101 219.110.5.91 193.198.209.253 185.46.54.181 219.110.5.92 197.189.224.187 186.64.116.232 222.124.4.100 209.182.203.221 188.132.246.9 31.210.49.62 209.182.203.221 190.0.226.108 37.48.85.242 103.18.30.14 190.196.71.50 41.220.23.106 103.235.105.26 190.226.40.86 43.224.137.54 103.236.188.61 190.92.103.245 43.240.103.4 103.82.198.153 192.163.233.53 45.137.22.118 103.82.198.156 192.185.143.5 45.137.22.48 103.82.198.79 192.185.146.87 45.137.22.86 104.161.92.146 192.185.198.26 45.56.222.196 107.6.16.202 192.185.46.107 46.20.151.84 107.6.16.226 192.185.46.109 5.2.196.173 107.6.16.74 192.185.50.250 58.64.39.62 107.6.52.99 193.107.158.26 59.120.73.90 108.166.43.69 193.41.252.174 62.36.20.184 113.23.214.192 194.183.88.174 65.254.254.73 119.81.19.196 196.11.146.229 65.60.1.234 149.72.193.43 196.216.245.16 66.96.184.8

Ministerio del Interior y Seguridad Pública Página 9 de 11

IoC Correo Electronico

account.pom_1@homestatepng.com gonzaloarzacyasociados@fibertel.com.ar

Accounts@lrsservices.in heppy@firoptix.co.id

admin@alanwarece.com hobby.gas9@orange.es

admin@escribaniasancho.com.ar hotelpurlilium@pec.hotelpurlilium.it

administracion.call@gadytel.com.pe hrodriguez@lapastora.ec

administracion1@vizorsa.com h-tamada@sakai2.co.jp

administrativo@modelli.com.br hunghd@huge.vn

agqueirs@sonaesr.com ianai@cei-rs.com.br

agusuratmo@pusri.co.id ileana.paiz@corporacioncomsi.com

ailsa@mitrakom.co.id industrialengcg@bwrl.in

akmal.javed@suraj.com.pk info@biotechweb.live

alejandro.escarate@sellotek.cl info@china-deyiuan.com

ali.alzoubaidi@trust.com.jo info@jaunstrukas.lv

allan@atlanticafiresafety.com info@ljstar.com

ammar.yasser@elan.com.pk info@santemedical.co.zw

amos.kiplagat@kemsa.co.ke info@swmianllc.cf

ankesh@aplservices.in insurance.klm@vw-evmcars.co.in

anne@goodrichuae.com jamaliba@eim.ae

arieldiez@arnetbiz.com.ar jason@nextstage-engineering.com

atendimento5@balarotidesign.com.br jbuae0006@jollibeeuae.com

backup.guias@classeslaboriosas.org.br jun3m@cornerstoneproperties.com.ph

banquetes1@lasmananitas.com.mx ketoanthue@eastseatravel.com

care-biogas@oed-inet.de kibukutu.tom@uhrc.ug

cepaiddepartamental@moron.mseg.gba.gov.ar lucia.brini@ipl.com.ar

chart@equinoxmaritime.com luis12@store-hp.com.mx

civasa@arnetbiz.com.ar macuna@enviachile.cl

clydeb@mebalasolutions.co.za manoj@msvfabrics.in

compras-zarlass@speedy.com.ar manzimonate@oaks.co.za

crservice2@youfirst.com.tw maqsood.a@smcliving.pk

dileep@dss-sa.com maraiscw@vodamail.co.za

dns@saulesaptieka.lv marketing@gunich.vn

dpanganiban@ultramodular.com.ph mazzollisusana@fibertel.com.ar

dragica.bobinac@medri.uniri.hr mighty@shelfitsupplies.co.bw

eabok@apexagroprocessing.com MineDali.Yigit@emirgroup.com.tr

echicas@serprofing.com misservice.blr@vw-ppsmotors.co.in

eka@pekaes-bup.com mmr1@accl.group-qa.com

eko@buma.co.id muhasebe@bekotas.com.tr

Ministerio del Interior y Seguridad Pública Página 10 de 11

elchin.sharifov@sab.az navinleon@mail.com

elit@jhrgroup.net nawshad@jamunagroup-bd.com

elizabeth.kalei@court.go.ke niibor@wni.com

elle.xiong@patelecningbo.com OAkyildiz@yoncagida.com.tr

eva@msmvenango.org office@insanton.at

exportcmb@moundhanship.com office@wohnen-mit-hassler.at

fdogansoy@ictsistem.com ollylittleford@vodamail.co.za

franquicias@anchus.com.ar opm@snowhite-oman.com

garyk@professionaleventrun.com oscar@polanco.scavolinistore.net

gaurcity.noida@bodycareapparels.com patrik@hultmarks.se

Gina.Zhou@cevalogistics.com pratimeshshetty@rustomjee.com

profesionales@arnetbiz.com.ar sergio.angulo@ciardi.com.ar

pross@arnetbiz.com.ar shoebshaikh.siel@ikyastaffing.com

qc-ktc@kohbyo.com spares@vw-tirupati.co.in

rares.sioldea@rolicom.ro srosell@todd.com.ar

rates@cmm.com.do stella.sheng@elg-logistic.com

recruitment@zcdco.com sumit.kumar@educomp.com

reservierung@grandhotelbinz.com support@dhl.com

s.costa@prianomarchelli.it svalerio@mercadosplaza.com

sales.hebbal@vw-ppsmotors.co.in t_sakai@matsuya-d.com

sales1@siemoservice.com taller@tellegaexpress.com

sales4@vaultex.co.za thavindri.wijerathna@eslmpl.lk

sales5@delfinapromotions.co.tz thompson@bradfords.com

santi@redcopmaco.com.ar trd.afr.amn@star-liners.com

santiago@HOTELCENTRO.arnetbiz.com.ar turanasiag@belight.net

satis@ferkomelektrik.com.tr uhrc@uhrc.ug

screening@da-desk.com vize@digitur.com.tr

yashar.alekberov@libservis.az wiremillmaintcg@bwrl.in

ynijhawan@indiajuris.com

Ministerio del Interior y Seguridad Pública Página 11 de 11

Recomendaciones

No abrir correos ni mensajes de dudosa procedencia. Desconfiar de los enlaces y archivos en los mensajes o correo. Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java y

otras). Ser escépticos frente ofertas, promociones o premios increíbles que se ofrecen por

internet. Prestar atención en los detalles de los mensajes o redes sociales. Evaluar el bloqueo preventivo de los indicadores de compromisos. Mantener actualizadas todas las plataformas de tecnologías y de detección de

amenazas. Revisar los controles de seguridad de los AntiSpam y SandBoxing. Realizar concientización permanente para los usuarios sobre este tipo de amenazas. Visualizar los sitios web que se ingresen sean los oficiales.