Alerta de seguridad

Nivel de peligrosidad: Alto

Descripción

En las últimas horas, el Centro de Gestión de Incidentes Informáticos ha detectado campañas agresivas y recurrentes de phishing en Bolivia, distribuyendo el malware VIPKeylogger mediante correos engañosos. Estos correos suplantan identidades de empresas legítimas y contienen archivos adjuntos maliciosos (.pdf, .zip, .rar o .exe). Una vez ejecutado, el malware roba credenciales almacenadas en navegadores web y envía los datos a servidores maliciosos.

Indicadores de ataque

• Nombre del archivo adjunto: Aviso_De _pago.PDF(31KB).r00
• Vector de ataque: Phishing
• Correo electrónico remitente: katsanos@voio.gr
• Dominio del correo remitente: voio.gr
• MD5: 9ffa2f8b72785023a94e647d962be059
• SHA1: c75851708041a258f75fb0dfd00b302a71a7591e
• SHA256: ed5a30bfec8cebbacd0ee1240f6d105838d275e3ef70d079f8eae023e5d1cf2e
• SSDEEP: 12288:6G9ZrOXTiCYzCRipmez4i1+qVVB0Tr5UWweT0:6Gbuwx/1+qlNQo

Recursos afectados

• Credenciales almacenadas en navegadores (Chrome, Edge, etc.).

Actividad maliciosa

1. Distribución: Correos de phishing con adjuntos como Aviso_De_Pago.PDF(31KB).rar.
2. Infección: Al descomprimir y ejecutar el archivo, se instala VIPKeylogger en sistemas Windows 10/11.
3. Recolección: Captura credenciales de Google, servicios web y contraseñas guardadas en navegadores.
4. Exfiltración: Envía datos robados sin cifrar mediante protocolo SMTP. utilizando credenciales SMTP comprometidas.

Indicadores de compromiso

• Malware: VIPKeylogger
• Puertos utilizados: 587, 465.
• Credenciales SMTP: Utiliza las credenciales de un "Correo cebo" o "Correo intermedio"
  • Usuario: amara-khaf@amara.ir
• Destino de datos robados: cartoonwa11@gmail.com
• Servidor de correo: mail.smc-energy.com
• DNS Request: reallyfreegeoip.org
• IP utilizada: 104.21.48.1

Recomendaciones

Bloquear estos dominios y direcciones en filtros de correo y firewalls, además de monitorear conexiones SMTP no autorizadas.

Referencias

• AnyRun
• Virus Total
• X / Twitter