8FPH21-00395-01 CSIRT alerta por phishing con email que suplanta a Netflix

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT de Gobierno), advierte sobre una campaña de phishing que está siendo difundida a través de un correo electrónico que supuestamente proviene desde Netflix.

El atacante busca persuadir a las personas para utilizar un enlace adjunto en el cuerpo del correo. El mensaje del correo indica al usuario que su cuenta de Netflix caduca en 24 horas y que es imprescindible realizar una verificación de su información.

Al seleccionar el enlace para ver más detalles, las personas son dirigidas a un sitio falso, donde se exponen al robo de sus credenciales.

Observación

Solicitamos tener en consideración las señales de compromiso en su conjunto.

Indicadores de compromiso

URL sitio redirección:

http://chechu.mandril.avnam[.]net/wp-content/plugins/preferred-languages/inc/PPPTTXXXMMMMLLLHHTHTTAA.html

URL sitio falso:

https://directnewz[.]com/.well-known/INGODWETRUST/5080d8e13c72e6080f7f943359ab44b4/

Asunto:

NETFLIX

Smtp Sender:

aix-kouhou@aix-group.co.jp

SMTP Host

[153.153.63.3]

Otros antecedentes

Certificado Digital

Fecha Valido                                                  :             18-04-2021

Fecha Término                                              :             17-04-2021

Emitido                                                          :             *.directnewz.com

 

Datos Alojamiento

 

IP                                                                     :             [192.185.35.200]

Número de sistema autónomo (AS)          :             46606

Etiqueta del sistema autónomo                 :             UNIFIEDLAYER-AS-1

País                                                                 :             US

Registrador                                                   :             ARIN

 

Datos del Dominio

 

Nombre de dominio                                    :             directnewz[.]com

Creado                                                           :             18-04-2021

Expira                                                             :             18-04-2022

Información del registrador                      :             NameCheap, Inc.ID IANA                                                          :             1068

Correo electrónico                                      :             abuse@namecheap.com

Servidores de nombres                               :             ns8077.hostgator.com

ns8078.hostgator.com

ns8077.hostgator.com

ns8078.hostgator.com

Recomendaciones

 

  • No abrir correos ni mensajes de dudosa procedencia.
  • Desconfiar de los enlaces y archivos en los mensajes o correo.
  • Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java y otras).
  • Ser escépticos frente ofertas, promociones o premios increíbles que se ofrecen por internet
  • Prestar atención en los detalles de los mensajes o redes sociales
  • Evaluar el bloqueo preventivo de los indicadores de compromisos.
  • Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.
  • Revisar los controles de seguridad de los AntiSpam y SandBoxing.
  • Realizar concientización permanente para los usuarios sobre este tipo de amenazas.
  • Visualizar los sitios web que se ingresen sean los oficiales.

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 8FPH21-00395-01.

8FPH21-00395-01 CSIRT alerta por phishing con email que suplanta a Netflix