8FPH21-00396-01 CSIRT alerta por phishing con falso email que suplanta a Netflix

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT de Gobierno), advierte sobre una campaña de phishing que se está difundiendo actualmente, a través de un correo electrónico que simula provenir desde Netflix.

El atacante busca persuadir a las personas para utilizar un enlace adjunto en el cuerpo del correo.

El mensaje del correo indica al usuario que información de su cuenta al parecer está incorrecta y que debe actualizar la información en un plazo de 48 horas. Y que si no se realiza dicha actualización, la cuenta sería suspendida. Al seleccionar el enlace para ver más detalles, las personas son dirigidas a un sitio falso, donde se exponen al robo de sus credenciales.

Observación

Solicitamos tener en consideración las señales de compromiso en su conjunto.

Indicadores de compromiso

URL sitio redirección:

http://chechu.mandril.avnam[.]net/wp-content/plugins/preferred-languages/inc/LINKKHOOPOODECODEMOMP.html

URL sitio falso:

https://stunnerciti[.]com/.well-known/INGODWETRUST/f1afd614784a5bd5b2993e152ce08134/

Asunto:

NETFLIX

Smtp Sender:

aix-kouhou@aix-group.co.jp

Smtp Host

[153.149.210.145]

Otros antecedentes

Certificado Digital

Fecha Valido                                                  :             11-03-2021

Fecha Término                                              :             10-06-2021

Emitido                                                          :             cPanel, Inc. Certification Authority

 

Datos Alojamiento

 

IP                                                                     :             [162.215.240.200]

Número de sistema autónomo (AS)          :             394695

Etiqueta del sistema autónomo                 :             PUBLIC-DOMAIN-REGISTRY

País                                                                 :             US

Registrador                                                   :             ARIN

 

Datos del Dominio

 

Nombre de dominio                                    :             stunnerciti[.]com

Creado                                                           :             18-06-2020

Expira                                                             :             18-06-2021

Información del registrador                      :             PDR Ltd. d/b/a PublicDomainRegistry.comID IANA                                                          :             303

Correo electrónico                                      :             abuse-contact@publicdomainregistry.com

Servidores de nombres                               :             ns1.md-58.webhostbox.net

ns2.md-58.webhostbox.net

Recomendaciones

  • No abrir correos ni mensajes de dudosa procedencia.
  • Desconfiar de los enlaces y archivos en los mensajes o correo.
  • Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java y otras).
  • Ser escépticos frente ofertas, promociones o premios increíbles que se ofrecen por internet
  • Prestar atención en los detalles de los mensajes o redes sociales
  • Evaluar el bloqueo preventivo de los indicadores de compromisos.
  • Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.
  • Revisar los controles de seguridad de los AntiSpam y SandBoxing.
  • Realizar concientización permanente para los usuarios sobre este tipo de amenazas.
  • Visualizar los sitios web que se ingresen sean los oficiales.

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 8FPH21-00396-01.

8FPH21-00396-01 CSIRT alerta por phishing con falso email que suplanta a Netflix