Microsoft - Phishing
FPH24-00952En el CSIRT de Gobierno encontramos una nueva campaña de phishing. Los siguientes son los detalles.
Email falso se hace pasar por Microsoft para robar claves de sus víctimas.
En esta campaña, los delincuentes indican falsamente a la víctima lo siguiente:
“Recientemente realizo una solicitud en 16/Apr/2024, para desactivar. Esta solicitud esta en proceso y se completara en breve. Si no realizo esta solicitud, cancele la solicitud ahora.”
El correo electrónico incluye un enlace a un formulario malicioso usado para capturar credenciales de usuarios.
Indicadores de Compromiso
| Tipo | Valor | Comentario |
|---|---|---|
| IPv4 | 104. 17. 96. 13 | IP sitio falso |
| IPv4 | 38. 43. 155. 5 | IP SMTP |
| URL | https: //cloudflare-ipfs. com/ipfs/QmfCzd6H3fmoowa2wiURc3W2nttyE6A4pzKDLL1kFfnyqL/#{Correo electronico} | URL sitio falso |
| URL | https: //royaltattoo. in/css/{correo electronico} | URL redirección |
| mriquelme@fap. mil. pe | Correo de salida | |
| Asunto Email | Su solicitud para desactivar cbecerra@interior. gov. cl esta en proceso | Asunto del correo |
Evidencias
Evidencia 1:
Evidencia 2: