8FPH20-00259-01 CSIRT advierte phishing bancario por supuesto crédito covid

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT), advierte sobre una campaña de phishing que se está difundiendo a través de un correo electrónico que supuestamente proviene del Banco Security.

El atacante intenta persuadir a la víctima para utilizar un enlace en el cuerpo del correo.

El mensaje del correo informa que el banco se ha adherido al programa del gobierno denominado Línea Covid-19, el que le permite tener acceso un crédito. La información asociada a este supuesto beneficio, se encontraría en el enlace adjunto.

Al seleccionar el enlace para revisar el crédito, la víctima es dirigida a un sitio falso de Banco Security, donde se expone al robo de sus credenciales.

Observación

Solicitamos tener en consideración las señales de compromiso en su conjunto.

Indicadores de compromiso

Urls Redirecciones:

hxxps://bit[.]ly/31r5lYL?l=www.bancosecurity.cl

hxxps://acumensurgical[.]com/catalog/enviar.php?l=1963615076

Urls sitio falso:

hxxps://www.spalvosspektras[.]lt/Creditos/www.bancosecurity.cl/

Sender

[email protected][.]net

Smtp Host

[67.205.103.117]

Asunto

Credito Aprobado.

Otros antecedentes

URL Body SHA-256

05523d0a2e007b7fff9bc68ba6deebced6dc124f3da1a2b1bd14a67205e97c0c

Certificado Digital

Fecha Valido                                                 :             28-05-2020

Fecha Termino                                             :             26-08-2020

Emitido                                                         :             Let's Encrypt Authority X3

Datos Alojamiento

IP                                                                    :             93.115.31.106

Número de sistema autónomo (AS)         :             16125

Etiqueta del sistema autónomo                :             UAB Cherry Servers

País                                                                :             Lituania

Registrador                                                  :             RIPE NCC

Datos del Dominio

Nombre de dominio                                   :             spalvosspektras[.lt

Estado del dominio                                     :             Registered

Creado                                                          :             19-11-2019

Expira                                                            :             20-11-2019

Información del registrador                      :             UAB "Virtuali erdvė"

ID IANA                                                          :             1636

Correo electrónico                                     :             [email protected]

Servidores de nombres                              :             ns1.tera.lt

ns2.tera.lt

ns3.tera.lt

ns4.tera.lt

Recomendaciones

• No abrir correos ni mensajes de dudosa procedencia.
• Desconfiar de los enlaces y archivos en los mensajes o correo.
• Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java y otras).
• Ser escépticos frente ofertas, promociones o premios increíbles que se ofrecen por internet
• Prestar atención en los detalles de los mensajes o redes sociales
• Evaluar el bloqueo preventivo de los indicadores de compromisos.
• Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.
• Revisar los controles de seguridad de los AntiSpam y SandBoxing.
• Realizar concientización permanente para los usuarios sobre este tipo de amenazas.
• Visualizar los sitios web que se ingresen sean los oficiales.

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 8FPH20-00259-01