El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT), advierte sobre una campaña de phishing que se está difundiendo a través de un correo electrónico que supuestamente proviene de PayPal.

El atacante intenta persuadir a las personas para utilizar un enlace adjunto en el cuerpo del correo.

El mensaje del correo informa al receptor, que su cuenta fue temporalmente suspendida y para poder utilizarla debe ser activada nuevamente.

Al seleccionar el enlace para suuestamente reactivar la cuenta, la potencial víctima es dirigida a un sitio falso de PayPal, donde se expone al robo de sus credenciales.

Observación      

Solicitamos tener en consideración las señales de compromiso en su conjunto.

Indicadores de compromiso

Urls sitio falso:

hxxps://dearcustmireservice[.]berdary[.]com/file/files

Sender

www-data[@]amzon[.]com

Smtp Host

[173.232.146.83]

Asunto

Confirm Your PayPal Account (Case ID #AL 032G 652 002)

Otros antecedentes

URL Body SHA-256

e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855

Certificado Digital

Fecha Valido                                                 :             05-04-2020

Fecha Termino                                             :             06-07-2020

Emitido                                                         :             Let’s Encrypt Authority X3

Datos Alojamiento

IP                                                                    :             88.99.75.142

Número de sistema autónomo (AS)         :             AS 24940

Etiqueta del sistema autónomo                :             Hetzner Online GmbH

País                                                                :             Alemania

Registrador                                                  :             RIPE NCC

Datos del Dominio

Nombre de dominio                                   :             berdary[.]com

Estado del dominio                                     :             clientTransferProhibited

Creado                                                          :             18-04-2016

Expira                                                            :             18-04-2021

Información del registrador                      :             OpenTLD B.V.

ID IANA                                                          :             1666

Servidores de nombres                              :             NS3.AVISHOST.COM

NS4.AVISHOST.COM

Recomendaciones

• No abrir correos ni mensajes de dudosa procedencia.
• Desconfiar de los enlaces y archivos en los mensajes o correo.
• Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java y otras).
• Ser escépticos frente ofertas, promociones o premios increíbles que se ofrecen por internet
• Prestar atención en los detalles de los mensajes o redes sociales
• Evaluar el bloqueo preventivo de los indicadores de compromisos.
• Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.
• Revisar los controles de seguridad de los AntiSpam y SandBoxing.
• Realizar concientización permanente para los usuarios sobre este tipo de amenazas.
• Visualizar los sitios web que se ingresen sean los oficiales.

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace:

8FPH20-00264-01