En nuestro monitoreo de amenazas relacionadas con el retiro del 10%, hemos detectado una serie de dominios que se encuentran activamente redireccionando a páginas de fraude, phishing y hasta la descarga de malware, suplantando a sitios como el de AFP Habitat, AFP Modelo, la Superintendencia de Pensiones y la Asociación de AFP.
Los dominios claramente fueron registrados buscando el error involuntario de las personas (por ejemplo, al escribir rapido) y no agregar el punto «.» luego del triple w (wwwnombreempresaasuplantar.cl).
Los sitios maliciosos son:
- wwwafphabitat.cl
- wwwspensiones.cl
- wwwmi10afp.cl
- wwwtu10conmodelo.cl
Un ejemplo de redirección es el sitio que se presenta en la siguiente imagen, que aparenta una infección de virus en tiempo real para que se haga la descarga final de un software malicioso, otras amenazas vistas estan relacionadas a Phishing y SCAMs de Bitcoins.
A continuación, se presenta un gráfico de la relación entre estos sitios y dos servidores maliciosos conocidos por alojar y distribuir activamente múltiples familias de Malware.
Algunos de los Malwares distribuidos por estos servidores.
Según NIC Chile, todos estos dominios fueron registrado entre Mayo y Agosto de 2020 y el titular es weimu zheng, quien es parte de una organización que se dedica al registro de este tipo de dominios en todo el mundo para luego revenderlos a las empresas oficiales en altas sumas de dinero (según las leyes y condiciones de cada país).
Mientras el dominio no sea reclamado, estos pasan a ser parte de una red de publicidad maliciosa y es en este punto donde puedes terminar siendo víctima de fraude o con tu computador infectado.
En Chile, muchos de estos dominios ya han sido reclamados por las empresas a las cuales suplantaban, sin embargo, hemos identificado otro dominios adicionales que aún se encuentran activos.
INDICADORES DE COMPROMISO
IPs de los servidores maliciosos:
- 170.178.168.203
- 70.32.1.32
- 103.224.182.249
Dominios suplantados y activos:
- wwwafphabitat.cl
- wwwspensiones.cl
- wwwmi10afp.cl
- wwwtu10conmodelo.cl
- wwwabcdin.cl
- wwwachs.cl
- wwwactiva.cl
- wwwadidas.cl
- wwwadnadio.cl
- wwwadnradio.cl
- wwwafc.cl
- wwwaguaspillancar.cl
- wwwarethalujoyas.cl
- wwwbiobiochile.cl
- wwwc19.cl
- wwwcajalosandes.cl
- wwwfonasa.cl
- wwwhdi.cl
- wwwingresodeemergencia.cl
- wwwingresominimo.cl
- wwwjunaeb.cl
- wwwlapolar.cl
- wwwlascondes.cl
- wwwmineduc.cl
- wwwminsal.cl
- wwwpeixe.cl
- wwwpinterest.cl
- wwwregistrocivil.cl
- wwwrosen.cl
- wwwscotiabankchile.cl
- wwwsolotodo.cl
- wwwstarken.cl
- wwwuchile.cl
- wwwservel.cl
- wwwpjud.cl
Bloquear los IOC a modo preventivo, por ejemplo, en el caso que algún usuario conectado a la red interna de tu organización cometa un error al escribir e ingrese a alguno de los sitios indicados.
Mantente seguro y actua con precaución en este #RETIRO10XCIENTO,
CronUp Ciberseguridad.
Threat Researcher en CronUp Ciberseguridad
Líder Red Team & Cyber Threat Intelligence.
