Contáctanos al
1510
Resumen
El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT), advierte sobre una campaña de phishing que se está difundiendo a través de un correo electrónico que supuestamente proviene del Banco Estado.
El atacante busca que a víctima utilice un enlace en el cuerpo del correo.
El mensaje del correo indica que se ha bloqueado la cuenta, sin especificar la razón. Luego, informa a la víctima que debe activar la cuenta utilizando el enlace y reintroduciendo sus datos, o de lo contrario deberá acudir a una sucursal para realizar el trámite.
Al seleccionar el botón para ingresar al Banco Estado, la persona es dirigida a un sitio falso del banco, donde se expone al robo de sus credenciales.
Observación
Solicitamos tener en consideración las señales de compromiso en su conjunto.
Indicadores de compromiso
Urls Redirecciones:
hxxp://retopop[.]com/Activacion/cuenta-cnoe/
Urls sitio falso:
hxxps://tsunamiclapham[.]co[.]uk/amd/imagenes/comun2008/banca-en-linea-personas[.]html
Sender
bancoestado[@]plusconsulting[.]cl
Smtp Host
[104.47.58.176]
Asunto
Aviso Importante: Cuenta Suspendido
Otros antecedentes
URL Body SHA-256
338a24e2206d3b76f8a9c7364991fbada0908b7432c66a294645e7cc5f937d5d
Datos Alojamiento
IP : 160.153.128.9
Número de sistema autónomo (AS) : AS 26496
Etiqueta del sistema autónomo : GoDaddy.com, LLC
País : Estados Unidos
Registrador : ARIN
Datos del Dominio
Nombre de dominio : co[.]uk
Información del registrador : Nominet UK
Servidores de nombres : dns1.nic.uk.
dns2.nic.uk.
dns3.nic.uk.
dns4.nic.uk.
nsa.nic.uk.
nsb.nic.uk.
nsc.nic.uk.
nsd.nic.uk.
Recomendaciones
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 8FPH20-00269-01