Zimbra - Phishing
FPH24-00955En el CSIRT de Gobierno encontramos una nueva campaña de phishing. Los siguientes son los detalles.
En esta nueva campaña de phishing, difundida a través de un email fraudulento que suplanta a Zimbra, los delincuentes indican falsamente a la víctima lo siguiente:
“ID de cuenta:
Verifique la cuenta de correo electrónico ahora.
Nuestro registro muestra que la cuenta anterior se desactivará pronto en las próximas 72 horas.
Debido a que la cuenta está desactualizada y necesita actualizarse ahora”
El correo electrónico incluye un enlace a un formulario malicioso usado para capturar credenciales de usuarios.
Indicadores de Compromiso
| Tipo | Valor | Comentario |
|---|---|---|
| IPv4 | 131. 108. 210. 21 | IP SMTP |
| IPv4 | 209. 94. 90. 1 | IP sitio falso |
| URL | https: //ipfs. io/ipfs/bafybeih4wwljr3lg6fxunpfgmjpqlwhihybtxvvbn5wesic6ii6wdjizfm/eso. com. mk. htm | URL sitio falso |
| karla. mella@saludquillota. cl | Correo de salida | |
| Asunto Email | SPAM: ATENCIÓN | Asunto correo electronico |
Evidencias
Evidencia 1:
Evidencia 2: