Phishing vía WhatsApp con falsa promoción del supermercado Jumbo

Dic 9, 2021 | Phishing

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT de Gobierno) ha identificado una campaña de phishing vía WhatsApp, que indica falsamente a quienes reciben sus mensajes, que el supermercado Jumbo se encuentra de aniversario y, como promoción especial, está regalando una tarjeta de $50.000 pesos.

Con tal de cumplir su objetivo, el atacante incluye un vínculo, supuestamente para que la víctima participe en la promoción. La víctima, al presionar el enlace, es direccionada a un sitio fraudulento semejante al del supermercado, dónde se le invita a completar una encuesta y participar en el sorteo. Al concluir las preguntas, al usuario se le solicita compartir esta campaña entre sus amistades en WhatsApp. De esta forma, el atacante obtiene sus credenciales y la propia víctima propaga la estafa a través de sus contactos de WhatsApp.

Observación

 Solicitamos tener en consideración las señales de compromiso en su conjunto.

Indicadores de compromiso

 URL redirección:

http://crowdeddiminish[.]website/jumbo/tb.php?_t=16384573351638457519215

 URL sitio falso:

https://ekpved[.]tw/nsM1DvIa/jumbo/?_t=1638474116820#1638474123738

URL sitio propaganda:

https://s1.l-o-a-d-i-n-g[.]biz/?p3=7037196158078288247#

https://s.prizeoffer[.]net/win?round=1&tid=5t31p2hzr5qjbfkh8ca8sgwgo,15426683

https://download-step1[.]com/download.html?an=vi&cid=c63b0qde8uobgwj648

Otros antecedentes

Certificado Digital

Fecha Valido                                                 :             20-11-2021

Fecha Término                                             :             18-02-2022

Emitido                                                         :             Let’s Encrypt R3

Datos Alojamiento

IP                                                                    :             [104.21.79.85]

Número de sistema autónomo (AS)         :             13335

Etiqueta del sistema autónomo                :             CLOUDFLARENET

País                                                                :             TR

Registrador                                                  :             RIPE NCC

Datos del Dominio

Nombre de dominio                                   :             ekpved[.]tw

Creado                                                          :             22-04-2021

Expira                                                            :             22-04-2022

Información del registrador                      :             no aplica

ID IANA                                                          :             no aplica

Correo electrónico                                     :             apasabnolittper858@rambler.ru

Servidores de nombres                              :             sima.ns.cloudflare.com

vicky.ns.cloudflare.com

Recomendaciones

  • No abrir correos ni mensajes de dudosa procedencia.
  • Desconfiar de los enlaces y archivos en los mensajes o correo.
  • Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java y otras).
  • Ser escépticos frente ofertas, promociones o premios increíbles que se ofrecen por internet
  • Prestar atención en los detalles de los mensajes o redes sociales
  • Evaluar el bloqueo preventivo de los indicadores de compromisos.
  • Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.
  • Revisar los controles de seguridad de los AntiSpam y SandBoxing.
  • Realizar concientización permanente para los usuarios sobre este tipo de amenazas.
  • Visualizar los sitios web que se ingresen sean los oficiales.

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 8FPH21-00449-01