8FPH21-00449-01 CSIRT informa phishing vía WhatsApp con falsa promoción del supermercado Jumbo
CSIRT de Gobierno ha identificado una campaña de phishing vía WhatsApp, que indica falsamente a quienes reciben sus mensajes, que el supermercado Jumbo se encuentra de aniversario y, como promoción especial, está regalando una tarjeta de $50.000 pesos.
Resumen
El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT de Gobierno) ha identificado una campaña de phishing vía WhatsApp, que indica falsamente a quienes reciben sus mensajes, que el supermercado Jumbo se encuentra de aniversario y, como promoción especial, está regalando una tarjeta de $50.000 pesos.
Con tal de cumplir su objetivo, el atacante incluye un vínculo, supuestamente para que la víctima participe en la promoción. La víctima, al presionar el enlace, es direccionada a un sitio fraudulento semejante al del supermercado, dónde se le invita a completar una encuesta y participar en el sorteo. Al concluir las preguntas, al usuario se le solicita compartir esta campaña entre sus amistades en WhatsApp. De esta forma, el atacante obtiene sus credenciales y la propia víctima propaga la estafa a través de sus contactos de WhatsApp.
Observación
Solicitamos tener en consideración las señales de compromiso en su conjunto.
Indicadores de compromiso
URL redirección:
http://crowdeddiminish[.]website/jumbo/tb.php?_t=16384573351638457519215
URL sitio falso:
https://ekpved[.]tw/nsM1DvIa/jumbo/?_t=1638474116820#1638474123738
URL sitio propaganda:
https://s1.l-o-a-d-i-n-g[.]biz/?p3=7037196158078288247#
https://s.prizeoffer[.]net/win?round=1&tid=5t31p2hzr5qjbfkh8ca8sgwgo,15426683
https://download-step1[.]com/download.html?an=vi&cid=c63b0qde8uobgwj648
Otros antecedentes
Certificado Digital
Fecha Valido : 20-11-2021
Fecha Término : 18-02-2022
Emitido : Let's Encrypt R3
Datos Alojamiento
IP : [104.21.79.85]
Número de sistema autónomo (AS) : 13335
Etiqueta del sistema autónomo : CLOUDFLARENET
País : TR
Registrador : RIPE NCC
Datos del Dominio
Nombre de dominio : ekpved[.]tw
Creado : 22-04-2021
Expira : 22-04-2022
Información del registrador : no aplica
ID IANA : no aplica
Correo electrónico : [email protected]
Servidores de nombres : sima.ns.cloudflare.com
vicky.ns.cloudflare.com
Recomendaciones
- No abrir correos ni mensajes de dudosa procedencia.
- Desconfiar de los enlaces y archivos en los mensajes o correo.
- Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java y otras).
- Ser escépticos frente ofertas, promociones o premios increíbles que se ofrecen por internet
- Prestar atención en los detalles de los mensajes o redes sociales
- Evaluar el bloqueo preventivo de los indicadores de compromisos.
- Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.
- Revisar los controles de seguridad de los AntiSpam y SandBoxing.
- Realizar concientización permanente para los usuarios sobre este tipo de amenazas.
- Visualizar los sitios web que se ingresen sean los oficiales.
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 8FPH21-00449-01