8FPH20-00257-01 CSIRT informa phishing con falso crédito aprobado por programa Covid-19

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT), advierte sobre una campaña de phishing que se está difundiendo a través de un correo electrónico que supuestamente proviene del Banco Security.

El atacante intenta persuadir a la víctima para utilizar un enlace en el cuerpo del correo.

El mensaje del correo informa que el banco se ha adherido al programa del gobierno denominado Línea Covid-19 y se aprobó un crédito. Para obtener más información puede acceder a un enlace.

Al seleccionar el enlace es dirigido a un sitio falso del Banco Security, donde se expone al robo de sus credenciales.

Observación

Solicitamos tener en consideración las señales de compromiso en su conjunto.

Indicadores de compromiso

Urls Redirecciones:

hxxps://bit[.]ly/31r5lYL?l=www[.]bancosecurity[.]cl

Urls sitio falso:

hxxps://innovativeiteration[.]com/www[.]bancosecurity[.]cl/pagina/index[.]asp

Sender

uk17books[@]host[.]freedominternational[.]net

gprint[@]host[.]freedominternational[.]net

Smtp Host

[67.205.103.117]

Asunto

Credito Aprobado.

Otros antecedentes

URL Body SHA-256

332dd04ae9deb819b7345e6f9d455c1b29b7f828cbb7d2a96afda1a9f3a6b48f

Certificado Digital

Fecha Valido                                                 :             18-06-2020

Fecha Termino                                             :             16-09-2020

Emitido                                                         :             Let’s Encrypt Authority X3

Datos Alojamiento

IP                                                                    :             111.118.215.77

Número de sistema autónomo (AS)         :             AS 394695

Etiqueta del sistema autónomo                :             PDR

País                                                                :             India

Registrador                                                  :             APNIC

Datos del Dominio

Nombre de dominio                                   :             innovativeiteration[.]com

Estado del dominio                                     :             clientDeleteProhibited

clientRenewProhibited

clientTransferProhibited

clientUpdateProhibited

Creado                                                          :             19 de enero del 2016

Expira                                                            :             19 de enero del 2021

Información del registrador                      :             GoDaddy.com, LLC

ID IANA                                                          :             146

Correo electrónico                                     :             abuse@godaddy.com

Servidores de nombres                              :             NS1.MD-IN-22.WEBHOSTBOX.NET

NS2.MD-IN-22.WEBHOSTBOX.NET

Recomendaciones

  • No abrir correos ni mensajes de dudosa procedencia.
  • Desconfiar de los enlaces y archivos en los mensajes o correo.
  • Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java y otras).
  • Ser escépticos frente ofertas, promociones o premios increíbles que se ofrecen por internet
  • Prestar atención en los detalles de los mensajes o redes sociales
  • Evaluar el bloqueo preventivo de los indicadores de compromisos.
  • Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.
  • Revisar los controles de seguridad de los AntiSpam y SandBoxing.
  • Realizar concientización permanente para los usuarios sobre este tipo de amenazas.
  • Visualizar los sitios web que se ingresen sean los oficiales.

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 8FPH20-00257-01

8FPH20-00257-01 CSIRT informa phishing con falso crédito aprobado por programa Covid-19