Alerta de seguridad
Nivel de peligrosidad: Alto
Descripción
Se ha identificado una campaña de phishing dirigida que suplanta la página web institucional legítima, utiliza el nombre de dominio "server.ronrol.com". Esta campaña se distribuye mediante correos engañosos (clasificados como Phishing y Spam), con el objetivo de robar credenciales de acceso a sistemas corporativos.
Los atacantes emplean técnicas de ingeniería social para simular comunicaciones urgentes o legítimas, redirigiendo a los usuarios a una página falsa que contiene un formulario para ingresar usuario y contraseña.
Recursos Objetivo
- Credenciales institucionales: Usuarios y contraseñas de acceso a sistemas internos y externos.
- Información sensible: Datos personales o corporativos ingresados en la página falsa.
Actividad Maliciosa
Esta campaña se clasifica como phishing dirigido debido a:
- Personalización: Los correos pueden incluir detalles específicos de la organización o empleados.
- Infraestructura fraudulenta: Uso de dominios falsos y páginas espejo con dynamic content para evadir detección.
- Objetivo: Robar credenciales para acceder a sistemas críticos o propagar malware.
- La página inicial que el usuario visualiza antes de ser redireccionado contiene carga de recursos estáticos y ofuscación mínima y el uso de iconos ligeros acompañando a cada input, simulando el diseño legítimo de la página institucional. Se introduce un "setTimeout" de 2 segundos para imitar la latencia de una plataforma real y evitar bloqueos rápidos por herramientas de seguridad.
Indicadores de ataque
- Email remitente:
help@gitcqetar.com - Dominio:
- server.ronrol.com
- Dirección IP de servicio
196[.]251[.]86[.]93 - Cuerpo de la respuesta HTTP (SHA-256)
30eeef85286a50935890928b6ac552ccf519b8378e39098f1ba66f27936216d3 - Muestra del correo electrónico:
- Página fraudulenta:
Recomendaciones
- No abrir ningún enlace o archivo adjunto procedente de correos sospechosos.
- No proporcionar contraseñas ni datos personales sensibles.