29 septiembre, 2022

8FPH22-00605-01 CSIRT alerta de campaña de phishing que suplanta a Zimbra

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT de Gobierno), ha identificado una campaña de phishing vía correo electrónico. En esta campaña, los delincuentes indican falsamente a la víctima lo siguiente: La contraseña del buzón caducará en 2 días. para mantener su contraseña.”

De abrir el archivo, la persona es dirigida a un sitio falso semejante a Zimbra login, donde se expone al robo de su usuario y contraseña (credenciales).

Observación

Solicitamos tener en consideración las señales de compromiso en su conjunto.

Indicadores de compromiso

URL redirección:

https://main.d1h30qz04vd0yf.amplifyapp[.]com/correo.html?zimbra.com?fromSignIn=true&trk=guest_homepage-basic_nav-header-0039944

 

URL sitio falso:

https://main.d1h30qz04vd0yf.amplifyapp[.]com/correo.html?zimbra.com?fromSignIn=true&trk=guest_homepage-basic_nav-header-0039944

 

Asunto Correo de Salida SMTP Host
usuario de correo electronico zimbra.admin@zimbra.com  

[54.229.95.226]

 

Otros antecedentes

Certificado Digital

Fecha Valido 26 Sep 2022
Fecha Término 25 Oct 2022
Emitido Amazon

 

Datos Alojamiento y Dominio

IP [52.85.247.16]
Número de sistema autónomo (AS) IP 16509
Emitido Etiqueta del sistema autónomo IP AMAZON-02
Registrador IP ARIN
País IP US
Dominio amplifyapp.com
Registrador Dominio https://www.comlaude.com

Recomendaciones

  • No abrir correos ni mensajes de dudosa procedencia.
  • Desconfiar de los enlaces y archivos en los mensajes o correo.
  • Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java y otras).
  • Ser escépticos frente ofertas, promociones o premios increíbles que se ofrecen por internet
  • Prestar atención en los detalles de los mensajes o redes sociales
  • Evaluar el bloqueo preventivo de los indicadores de compromisos.
  • Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.
  • Revisar los controles de seguridad de los antispam y sandboxing.
  • Realizar concientización permanente para los usuarios sobre este tipo de amenazas.
  • Visualizar los sitios web que se ingresen sean los oficiales.

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 8FPH22-00605-01.

8FPH22-00605-01 CSIRT alerta de campaña de phishing que suplanta a Zimbra