Zimbra - Phishing
FPH24-00956En el CSIRT de Gobierno encontramos una nueva campaña de phishing. Los siguientes son los detalles.
En esta campaña, los delincuentes envían un email falso que simula pertenecer a Zimbra. ¡No hagas clic!
En el email malicioso, los delincuentes indican falsamente a la víctima lo siguiente:
“Información importante del servicio de seguridad Zimbra
A partir de hoy, lunes 30 de abril de 2024 (EDT), la página de inicio de sesión de su cliente web Zimbra cambiará. Nos estamos preparando para una actualización por correo electrónico. Sin embargo, para evitar ser desactivado y evitar perder el acceso a su cuenta de correo electrónico, haga clic en el enlace a continuación.”
El correo electrónico incluye un enlace a un formulario para capturar credenciales de usuarios
Indicadores de Compromiso
| Tipo | Valor | Comentario |
|---|---|---|
| IPv4 | 209. 94. 90. 1 | IP sitio falso |
| IPv4 | 45. 33. 11. 242 | IP SMTP |
| csanchez@mlagranja. cl | Correo de salida | |
| URL | https: //ipfs. io/ipfs/bafybeih4wwljr3lg6fxunpfgmjpqlwhihybtxvvbn5wesic6ii6wdjizfm/eso. com. mk. htm | URL sitio falso |
Evidencias
Evidencia 1:
Evidencia 2: