8FPH-00075-001 CSIRT advierte de phishing en correo electrónico corporativo

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT), ha identificado una campaña de phishing a través de un correo electrónico que intenta engañar a los usuarios del correo electrónico corporativo Zimbra.

El correo informa sobre supuestos mensajes bloqueados producto de que el buzón habría sobrepasado el límite de espacio de la cuenta. Los estafadores persuaden al usuario para que seleccione el enlace de “actualizar ahora”. Al seleccionar dicho enlace, la víctima es dirigida a un sitio falso de correo donde se le solicita el nombre de usuario y contraseña.

Observación

Solicitamos tener en consideración las señales de compromiso en su conjunto

Indicadores de compromisos

Url’s:

http[:]//bdmzip[.]co[.]uk/wp-admin/Zimbra/login[.]php

Smtp Host

76[.]74[.]187[.]78

119[.]59[.]107[.]83

Sender

admin@apccas2019regis[.]com

Subject:          

Webmail Requiere actualización

Recomendaciones

Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java y otras)

Evaluar el bloqueo preventivo de los indicadores de compromisos

Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas

Revisar los controles de seguridad de los AntiSpam y SandBoxing

Realizar concientización permanente para los usuarios sobre este tipo de amenazas

Visualizar los sitios web que se ingresen que sean los oficiales

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 8FPH-00075-001.docx