![1ZRR4H's tweet photo. ⚠️🇨🇱 Dos tiendas falsas utilizadas en esta campaña de fraude bancario son "USA Fitness" usafitness[.]cl y "ADN Nutrition" adnnutrition[.]cl.
El flujo es conocido:
1️⃣ La víctima llega desde anuncios pagados en Meta. 2️⃣ Ve ofertas agresivas en proteína/suplementos (puede ser cualquier cosa).
3️⃣ Al "pagar", es redirigida a las pasarelas fraudulentas:
→ compraraqui[.]cl
→ ventawebpay[.]com
Los sitios están optimizados para móviles y replican el flujo WebPay/bancario, parecido al dominio actual detectado por @tial_cl. Las tiendas que comparto pertenecen a una campaña anterior, son sitios casi iguales, plantilla one-page, tienen comentarios y productos en duro y algunas emiten hasta comprobante de compra.
Al parecer, están en esto de las estafas con páginas falsas desde hace varios años, solo que ahora se están "actualizando". Una de las cuentas de Instagram tiene 14 cambios de username 😂 (y siguen operando...)](https://pbs.twimg.com/media/HJbn__pXQAAPyYd.jpg)
![1ZRR4H's tweet photo. ⚠️🇨🇱 Dos tiendas falsas utilizadas en esta campaña de fraude bancario son "USA Fitness" usafitness[.]cl y "ADN Nutrition" adnnutrition[.]cl.
El flujo es conocido:
1️⃣ La víctima llega desde anuncios pagados en Meta. 2️⃣ Ve ofertas agresivas en proteína/suplementos (puede ser cualquier cosa).
3️⃣ Al "pagar", es redirigida a las pasarelas fraudulentas:
→ compraraqui[.]cl
→ ventawebpay[.]com
Los sitios están optimizados para móviles y replican el flujo WebPay/bancario, parecido al dominio actual detectado por @tial_cl. Las tiendas que comparto pertenecen a una campaña anterior, son sitios casi iguales, plantilla one-page, tienen comentarios y productos en duro y algunas emiten hasta comprobante de compra.
Al parecer, están en esto de las estafas con páginas falsas desde hace varios años, solo que ahora se están "actualizando". Una de las cuentas de Instagram tiene 14 cambios de username 😂 (y siguen operando...)](https://pbs.twimg.com/media/HJbnPqtXYAMY7RV.jpg)
![1ZRR4H's tweet photo. ⚠️🇨🇱 Dos tiendas falsas utilizadas en esta campaña de fraude bancario son "USA Fitness" usafitness[.]cl y "ADN Nutrition" adnnutrition[.]cl.
El flujo es conocido:
1️⃣ La víctima llega desde anuncios pagados en Meta. 2️⃣ Ve ofertas agresivas en proteína/suplementos (puede ser cualquier cosa).
3️⃣ Al "pagar", es redirigida a las pasarelas fraudulentas:
→ compraraqui[.]cl
→ ventawebpay[.]com
Los sitios están optimizados para móviles y replican el flujo WebPay/bancario, parecido al dominio actual detectado por @tial_cl. Las tiendas que comparto pertenecen a una campaña anterior, son sitios casi iguales, plantilla one-page, tienen comentarios y productos en duro y algunas emiten hasta comprobante de compra.
Al parecer, están en esto de las estafas con páginas falsas desde hace varios años, solo que ahora se están "actualizando". Una de las cuentas de Instagram tiene 14 cambios de username 😂 (y siguen operando...)](https://pbs.twimg.com/media/HJbnPnDW4AQP4Lc.jpg)
![1ZRR4H's tweet photo. 🚨 GRACIAS IA!!! 🤦🏻♂️
→ Resultados de Google están recomendando recuperar la ClaveÚnica desde el sitio "oficial" claveunica[.]online.
El problema es que ese dominio forma parte de una campaña activa de fraude orientada al robo de identidades digitales en Chile, la cual identificamos y alertamos en diciembre del año pasado desde @Cronup_CyberSec: https://t.co/XeH8J6XeKf ⚠️
Adicionalmente, ahora se observa la suplantación de AFP Modelo, algo que no habíamos visto en etapas anteriores de la operación.
Esto no es solo un error de indexación, es un riesgo real para miles de personas que confían en los primeros resultados de búsqueda.
H/T @Huntr3ssX @goangaar 🎯
/ @ANCIChile @AFPModelo](https://pbs.twimg.com/media/HCBclHzXQAE9pvI.png)
![1ZRR4H's tweet photo. 🚨 GRACIAS IA!!! 🤦🏻♂️
→ Resultados de Google están recomendando recuperar la ClaveÚnica desde el sitio "oficial" claveunica[.]online.
El problema es que ese dominio forma parte de una campaña activa de fraude orientada al robo de identidades digitales en Chile, la cual identificamos y alertamos en diciembre del año pasado desde @Cronup_CyberSec: https://t.co/XeH8J6XeKf ⚠️
Adicionalmente, ahora se observa la suplantación de AFP Modelo, algo que no habíamos visto en etapas anteriores de la operación.
Esto no es solo un error de indexación, es un riesgo real para miles de personas que confían en los primeros resultados de búsqueda.
H/T @Huntr3ssX @goangaar 🎯
/ @ANCIChile @AFPModelo](https://pbs.twimg.com/media/HCBckTTWkAAyVqc.png)
![1ZRR4H's tweet photo. 🚨 GRACIAS IA!!! 🤦🏻♂️
→ Resultados de Google están recomendando recuperar la ClaveÚnica desde el sitio "oficial" claveunica[.]online.
El problema es que ese dominio forma parte de una campaña activa de fraude orientada al robo de identidades digitales en Chile, la cual identificamos y alertamos en diciembre del año pasado desde @Cronup_CyberSec: https://t.co/XeH8J6XeKf ⚠️
Adicionalmente, ahora se observa la suplantación de AFP Modelo, algo que no habíamos visto en etapas anteriores de la operación.
Esto no es solo un error de indexación, es un riesgo real para miles de personas que confían en los primeros resultados de búsqueda.
H/T @Huntr3ssX @goangaar 🎯
/ @ANCIChile @AFPModelo](https://pbs.twimg.com/media/HCBcQ5_WEAAg_LG.png)
![1ZRR4H's tweet photo. ⚠️🇨🇱 Nueva campaña dirigida a Chile conduce a la instalación de software de acceso remoto legítimo y firmado como LogMeIn y Atera.
A pesar del uso recurrente en actividades maliciosas, ni Defender ni muchas otras herramientas de seguridad las clasifican como amenazas 😐
Las descargas se realizan desde un open S3 bucket en: https://subenvio.t3[.]storage[.]dev/. Hasta el momento, van 719 accesos desde 589 organizaciones/correos distintos.
[+] https://t.co/QNjfrrag7w.
El email configurado en el agente Atera nos da pistas sobre el origen de esta operación (🇧🇷)
H/T @Huntr3ssX](https://pbs.twimg.com/media/Gwq0t0EXQAENWE1.jpg)
![1ZRR4H's tweet photo. ⚠️🇨🇱 Nueva campaña dirigida a Chile conduce a la instalación de software de acceso remoto legítimo y firmado como LogMeIn y Atera.
A pesar del uso recurrente en actividades maliciosas, ni Defender ni muchas otras herramientas de seguridad las clasifican como amenazas 😐
Las descargas se realizan desde un open S3 bucket en: https://subenvio.t3[.]storage[.]dev/. Hasta el momento, van 719 accesos desde 589 organizaciones/correos distintos.
[+] https://t.co/QNjfrrag7w.
El email configurado en el agente Atera nos da pistas sobre el origen de esta operación (🇧🇷)
H/T @Huntr3ssX](https://pbs.twimg.com/media/Gwqyo2FWQAAjYsG.png)
![1ZRR4H's tweet photo. ⚠️🇨🇱 Nueva campaña dirigida a Chile conduce a la instalación de software de acceso remoto legítimo y firmado como LogMeIn y Atera.
A pesar del uso recurrente en actividades maliciosas, ni Defender ni muchas otras herramientas de seguridad las clasifican como amenazas 😐
Las descargas se realizan desde un open S3 bucket en: https://subenvio.t3[.]storage[.]dev/. Hasta el momento, van 719 accesos desde 589 organizaciones/correos distintos.
[+] https://t.co/QNjfrrag7w.
El email configurado en el agente Atera nos da pistas sobre el origen de esta operación (🇧🇷)
H/T @Huntr3ssX](https://pbs.twimg.com/media/GwqvHcuWwAA2eIG.png)
![1ZRR4H's tweet photo. 1/ 🚨🇨🇱 Alerta por comportamiento anómalo en el registro de dominios .CL . H/T @Cronup_CyberSec 👁️
Se trata de una serie de dominios sospechosos compuestos de 5 letras aleatorias, registrados con poca diferencia de tiempo, utilizando el mismo agente registrador y la misma configuración DNS.
En 3 días registraron más de 100 dominios, los cuales (dependiendo del visitante/dispositivo), redirigen a la descarga de una App maliciosa disponible para Android e iOS. Ambas piden desactivar la seguridad para instalar ⚠️
Todo indica que corresponde a una campaña a nivel mundial, de origen chino 🇨🇳 y asociada a sitios pornográficos.
[+] Sample (Android): https://t.co/swYGLFlxyx](https://pbs.twimg.com/media/GtbJoPgWwAAfgTT.jpg)
![1ZRR4H's tweet photo. 1/ 🚨🇨🇱 Alerta por comportamiento anómalo en el registro de dominios .CL . H/T @Cronup_CyberSec 👁️
Se trata de una serie de dominios sospechosos compuestos de 5 letras aleatorias, registrados con poca diferencia de tiempo, utilizando el mismo agente registrador y la misma configuración DNS.
En 3 días registraron más de 100 dominios, los cuales (dependiendo del visitante/dispositivo), redirigen a la descarga de una App maliciosa disponible para Android e iOS. Ambas piden desactivar la seguridad para instalar ⚠️
Todo indica que corresponde a una campaña a nivel mundial, de origen chino 🇨🇳 y asociada a sitios pornográficos.
[+] Sample (Android): https://t.co/swYGLFlxyx](https://pbs.twimg.com/media/GtbFoE7XAAAWjTD.png)
![1ZRR4H's tweet photo. 1/ 🚨🇨🇱 Alerta por comportamiento anómalo en el registro de dominios .CL . H/T @Cronup_CyberSec 👁️
Se trata de una serie de dominios sospechosos compuestos de 5 letras aleatorias, registrados con poca diferencia de tiempo, utilizando el mismo agente registrador y la misma configuración DNS.
En 3 días registraron más de 100 dominios, los cuales (dependiendo del visitante/dispositivo), redirigen a la descarga de una App maliciosa disponible para Android e iOS. Ambas piden desactivar la seguridad para instalar ⚠️
Todo indica que corresponde a una campaña a nivel mundial, de origen chino 🇨🇳 y asociada a sitios pornográficos.
[+] Sample (Android): https://t.co/swYGLFlxyx](https://pbs.twimg.com/media/GtbFoBtWUAAZUvl.jpg)
![1ZRR4H's tweet photo. 🚨 PVI: gracias a @Huntr3ssX y @V3n0mStrike ahora sabemos que esta campaña también apunta a clientes de LATAM Airlines y Movistar 🇨🇱
"Tus puntos están por caducar".
Algunos dominios utilizados:
- latamalirines[.]sbs
- movistai[.]top
- movistarr[.]vip
+ Panel de Admin 🇨🇳 https://t.co/dSuKnULKDp](https://pbs.twimg.com/media/GhB13zNWAAATAWZ.jpg)
![1ZRR4H's tweet photo. 🚨 PVI: gracias a @Huntr3ssX y @V3n0mStrike ahora sabemos que esta campaña también apunta a clientes de LATAM Airlines y Movistar 🇨🇱
"Tus puntos están por caducar".
Algunos dominios utilizados:
- latamalirines[.]sbs
- movistai[.]top
- movistarr[.]vip
+ Panel de Admin 🇨🇳 https://t.co/dSuKnULKDp](https://pbs.twimg.com/media/GhB1ugLWYAAeGQP.png)
![V3n0mStrike's tweet photo. 🚩#Chile 🇨🇱: El grupo de ransomware #ransomhub anuncia dentro de sus victimas a la universidad tecnica Federico Santa Maria (usm[.]cl)
CC: @usantamaria
#infosec #ransomware #ransomhub #ciberseguridad #utfsm #cybersecurity #DarkWeb https://t.co/kwGDvbVGK6](https://pbs.twimg.com/media/GbVKVjsWgAAj2vA.jpg)
![1ZRR4H's tweet photo. 🚨 La página de Facebook del Club de Fútbol Universidad de Chile (@udechile) fue comprometida para distribuir una campaña de #phishing que busca secuestrar cuentas a través de la opción "Facebook para dispositivos" (https://t.co/HHMXtWWCAH), interesante método 🧐
Al parecer, es una campaña de origen brasileño.
Algunos dominios involucrados:
- agency-social.pages.mus[.]br/supportusersercurity
- supportmetaagency.everythingbench[.]com/
- socail.pages.mus[.]br/agencymetasupportuser
- dongkhung.abqbilliards[.]com/
Sin embargo, hay muchos más si buscamos por el dominio principal pages.mus[.]br (el kit es multilenguaje) > https://t.co/fGB7bl3TIm 🎣](https://pbs.twimg.com/media/GOkCkuGW4AAKhnU.jpg)
![1ZRR4H's tweet photo. 🚨 La página de Facebook del Club de Fútbol Universidad de Chile (@udechile) fue comprometida para distribuir una campaña de #phishing que busca secuestrar cuentas a través de la opción "Facebook para dispositivos" (https://t.co/HHMXtWWCAH), interesante método 🧐
Al parecer, es una campaña de origen brasileño.
Algunos dominios involucrados:
- agency-social.pages.mus[.]br/supportusersercurity
- supportmetaagency.everythingbench[.]com/
- socail.pages.mus[.]br/agencymetasupportuser
- dongkhung.abqbilliards[.]com/
Sin embargo, hay muchos más si buscamos por el dominio principal pages.mus[.]br (el kit es multilenguaje) > https://t.co/fGB7bl3TIm 🎣](https://pbs.twimg.com/media/GOjxyQKXoAEqjnS.jpg)
![1ZRR4H's tweet photo. 🚨 La página de Facebook del Club de Fútbol Universidad de Chile (@udechile) fue comprometida para distribuir una campaña de #phishing que busca secuestrar cuentas a través de la opción "Facebook para dispositivos" (https://t.co/HHMXtWWCAH), interesante método 🧐
Al parecer, es una campaña de origen brasileño.
Algunos dominios involucrados:
- agency-social.pages.mus[.]br/supportusersercurity
- supportmetaagency.everythingbench[.]com/
- socail.pages.mus[.]br/agencymetasupportuser
- dongkhung.abqbilliards[.]com/
Sin embargo, hay muchos más si buscamos por el dominio principal pages.mus[.]br (el kit es multilenguaje) > https://t.co/fGB7bl3TIm 🎣](https://pbs.twimg.com/media/GOjwTxJWYAA7yQI.jpg)
![1ZRR4H's tweet photo. 🚨 El día 24-01-2024 detectamos el registro del dominio govs[.]cl a nombre de "abdifatah Ali".
Ayer, 27 de enero el sitio cambió y apareció una web con título "Validacion de Visas Electrónicas - MINREL" suplantando al Ministerio de Relaciones Exteriores de Chile 🇨🇱.
Mucho cuidado donde ingresan sus datos personales.
* Posible amenaza en desarrollo.
🥷 @Huntr3ssX](https://pbs.twimg.com/media/GE8wKfiWYAArfDB.jpg)
![1ZRR4H's tweet photo. 🇨🇱 Nuevo dominio .cl registrado:
- mesadeayuda-interior-gob[.]cl
Perdón, pero dejamos por acá para consciencia de equipos de seguridad ofensivos y defensivos ;)
🥷 @Huntr3ssX https://t.co/wL9u1copHo](https://pbs.twimg.com/media/GDqP5spWsAAo9jj.jpg)
Olivia
Online
xHuntr3ss
@Huntr3ssX
Nerd 🤓 Pentester / Ethical Hacker / Offensive Security 💻
Joined August 2020
62 Following
107 Followers
27 Posts
⚠️🇨🇱 Dos tiendas falsas utilizadas en esta campaña de fraude bancario son "USA Fitness" usafitness[.]cl y "ADN Nutrition" adnnutrition[.]cl.
El flujo es conocido:
1️⃣ La víctima llega desde anuncios pagados en Meta. 2️⃣ Ve ofertas agresivas en proteína/suplementos (puede ser cualquier cosa).
3️⃣ Al "pagar", es redirigida a las pasarelas fraudulentas:
→ compraraqui[.]cl
→ ventawebpay[.]com
Los sitios están optimizados para móviles y replican el flujo WebPay/bancario, parecido al dominio actual detectado por @tial_cl. Las tiendas que comparto pertenecen a una campaña anterior, son sitios casi iguales, plantilla one-page, tienen comentarios y productos en duro y algunas emiten hasta comprobante de compra.
Al parecer, están en esto de las estafas con páginas falsas desde hace varios años, solo que ahora se están "actualizando". Una de las cuentas de Instagram tiene 14 cambios de username 😂 (y siguen operando...)
![1ZRR4H's tweet photo. ⚠️🇨🇱 Dos tiendas falsas utilizadas en esta campaña de fraude bancario son "USA Fitness" usafitness[.]cl y "ADN Nutrition" adnnutrition[.]cl.
El flujo es conocido:
1️⃣ La víctima llega desde anuncios pagados en Meta. 2️⃣ Ve ofertas agresivas en proteína/suplementos (puede ser cualquier cosa).
3️⃣ Al "pagar", es redirigida a las pasarelas fraudulentas:
→ compraraqui[.]cl
→ ventawebpay[.]com
Los sitios están optimizados para móviles y replican el flujo WebPay/bancario, parecido al dominio actual detectado por @tial_cl. Las tiendas que comparto pertenecen a una campaña anterior, son sitios casi iguales, plantilla one-page, tienen comentarios y productos en duro y algunas emiten hasta comprobante de compra.
Al parecer, están en esto de las estafas con páginas falsas desde hace varios años, solo que ahora se están "actualizando". Una de las cuentas de Instagram tiene 14 cambios de username 😂 (y siguen operando...)](https://pbs.twimg.com/media/HJb02bbW4AA2DLj.jpg)
🔥 Ok, levantamos una herramienta simple pero potente, permite consultar si un RUT determinado aparece en la filtración de casi 250.000 credenciales de #ClaveUnica expuestas en Telegram (#Rutify).
🔹 https://t.co/l4ipVS6R7Z
📢 Si puedes, COMPARTE, quizás alguien cercano lo necesite y aún no lo sepa.
A esto me refiero cuando le digo a mis cercanos que no crean ciegamente en todo lo que dice la IA 💀
🚨 GRACIAS IA!!! 🤦🏻♂️
→ Resultados de Google están recomendando recuperar la ClaveÚnica desde el sitio "oficial" claveunica[.]online.
El problema es que ese dominio forma parte de una campaña activa de fraude orientada al robo de identidades digitales en Chile, la cual identificamos y alertamos en diciembre del año pasado desde @Cronup_CyberSec: https://t.co/XeH8J6XeKf ⚠️
Adicionalmente, ahora se observa la suplantación de AFP Modelo, algo que no habíamos visto en etapas anteriores de la operación.
Esto no es solo un error de indexación, es un riesgo real para miles de personas que confían en los primeros resultados de búsqueda.
H/T @Huntr3ssX @goangaar 🎯
/ @ANCIChile @AFPModelo
![1ZRR4H's tweet photo. 🚨 GRACIAS IA!!! 🤦🏻♂️
→ Resultados de Google están recomendando recuperar la ClaveÚnica desde el sitio "oficial" claveunica[.]online.
El problema es que ese dominio forma parte de una campaña activa de fraude orientada al robo de identidades digitales en Chile, la cual identificamos y alertamos en diciembre del año pasado desde @Cronup_CyberSec: https://t.co/XeH8J6XeKf ⚠️
Adicionalmente, ahora se observa la suplantación de AFP Modelo, algo que no habíamos visto en etapas anteriores de la operación.
Esto no es solo un error de indexación, es un riesgo real para miles de personas que confían en los primeros resultados de búsqueda.
H/T @Huntr3ssX @goangaar 🎯
/ @ANCIChile @AFPModelo](https://pbs.twimg.com/media/HCBcmD4WMAAxaaF.png)
⚠️🇨🇱 Nueva campaña dirigida a Chile conduce a la instalación de software de acceso remoto legítimo y firmado como LogMeIn y Atera.
A pesar del uso recurrente en actividades maliciosas, ni Defender ni muchas otras herramientas de seguridad las clasifican como amenazas 😐
Las descargas se realizan desde un open S3 bucket en: https://subenvio.t3[.]storage[.]dev/. Hasta el momento, van 719 accesos desde 589 organizaciones/correos distintos.
[+] https://t.co/QNjfrrag7w.
El email configurado en el agente Atera nos da pistas sobre el origen de esta operación (🇧🇷)
H/T @Huntr3ssX
![1ZRR4H's tweet photo. ⚠️🇨🇱 Nueva campaña dirigida a Chile conduce a la instalación de software de acceso remoto legítimo y firmado como LogMeIn y Atera.
A pesar del uso recurrente en actividades maliciosas, ni Defender ni muchas otras herramientas de seguridad las clasifican como amenazas 😐
Las descargas se realizan desde un open S3 bucket en: https://subenvio.t3[.]storage[.]dev/. Hasta el momento, van 719 accesos desde 589 organizaciones/correos distintos.
[+] https://t.co/QNjfrrag7w.
El email configurado en el agente Atera nos da pistas sobre el origen de esta operación (🇧🇷)
H/T @Huntr3ssX](https://pbs.twimg.com/media/Gwq12DuXgAEfcnz.png)
1/ 🚨🇨🇱 Alerta por comportamiento anómalo en el registro de dominios .CL . H/T @Cronup_CyberSec 👁️
Se trata de una serie de dominios sospechosos compuestos de 5 letras aleatorias, registrados con poca diferencia de tiempo, utilizando el mismo agente registrador y la misma configuración DNS.
En 3 días registraron más de 100 dominios, los cuales (dependiendo del visitante/dispositivo), redirigen a la descarga de una App maliciosa disponible para Android e iOS. Ambas piden desactivar la seguridad para instalar ⚠️
Todo indica que corresponde a una campaña a nivel mundial, de origen chino 🇨🇳 y asociada a sitios pornográficos.
[+] Sample (Android): https://t.co/swYGLFlxyx
![1ZRR4H's tweet photo. 1/ 🚨🇨🇱 Alerta por comportamiento anómalo en el registro de dominios .CL . H/T @Cronup_CyberSec 👁️
Se trata de una serie de dominios sospechosos compuestos de 5 letras aleatorias, registrados con poca diferencia de tiempo, utilizando el mismo agente registrador y la misma configuración DNS.
En 3 días registraron más de 100 dominios, los cuales (dependiendo del visitante/dispositivo), redirigen a la descarga de una App maliciosa disponible para Android e iOS. Ambas piden desactivar la seguridad para instalar ⚠️
Todo indica que corresponde a una campaña a nivel mundial, de origen chino 🇨🇳 y asociada a sitios pornográficos.
[+] Sample (Android): https://t.co/swYGLFlxyx](https://pbs.twimg.com/media/GtbJ7njWMAAse3W.png)
🚩 Interesante campaña de #phishing de credenciales corporativas vista en Chile 🇨🇱 llega a través de solicitudes de reunión con documento HTM adjunto.
Asunto: "Thank You for Renewing Your Microsoft Office365 Subscription" (puede cambiar).
¿Cómo funciona?
1.- Los atacantes envían una invitación de reunión (calendar invite) utilizando Outlook, Google Calendar u otro sistema compatible con iCalendar (.ics).
2.- La invitación contiene un adjunto o link malicioso.
3.- En algunos casos (dependiendo de la configuración), el evento se agrega automáticamente al calendario de la víctima.
4.- Como se trata de una notificación legítima del sistema de calendario, muchas veces no pasa por los filtros antispam habituales (aka bypass).
Dominios de origen de las invitaciones de reunión:
aceh4dlast[.]boats
acehsport[.]wiki
gezenkalem[.]com
tutorialshock[.]com
atlantafurnituremart[.]com
sabellaphoto[.]com
aceh4dterbaik[.]life
aceh4dmxwin[.]world
aceh4dreal[.]pro
acehbolaskill[.]cfd
acehbolasolusi[.]cyou
tus4djackpot[.]com
aceh4dplay[.]world
aceh4dice[.]live
acehsportlive[.]art
acehbolaplays[.]space
apartement[.]id
aceh4dskill[.]cloud
acehbola[.]shop
acehbolaind[.]click
acehbolaupslot[.]xyz
bacan4dbegadang[.]pics
aceh4dpilihan[.]xyz
acehbolaeuro[.]site
aceh4dplace[.]cyou
aceh4dgreen[.]xyz
mediterraneanbeaches[.]com
aceh4dseru[.]top
terminalbetresmi[.]com
pocari-4d[.]com
magicalfourseasons[.]com
asayamind[.]com
environmentalistonline[.]com
couponornot[.]com
imagebarn[.]com
cerrajerosvalencia24horaslow[.]com
conchobar[.]com
aceh4dofficial[.]com
camchatscript[.]com
aceh4dhappy[.]cfd
homegrownhandmade[.]com
![1ZRR4H's tweet photo. 🚩 Interesante campaña de #phishing de credenciales corporativas vista en Chile 🇨🇱 llega a través de solicitudes de reunión con documento HTM adjunto.
Asunto: "Thank You for Renewing Your Microsoft Office365 Subscription" (puede cambiar).
¿Cómo funciona?
1.- Los atacantes envían una invitación de reunión (calendar invite) utilizando Outlook, Google Calendar u otro sistema compatible con iCalendar (.ics).
2.- La invitación contiene un adjunto o link malicioso.
3.- En algunos casos (dependiendo de la configuración), el evento se agrega automáticamente al calendario de la víctima.
4.- Como se trata de una notificación legítima del sistema de calendario, muchas veces no pasa por los filtros antispam habituales (aka bypass).
Dominios de origen de las invitaciones de reunión:
aceh4dlast[.]boats
acehsport[.]wiki
gezenkalem[.]com
tutorialshock[.]com
atlantafurnituremart[.]com
sabellaphoto[.]com
aceh4dterbaik[.]life
aceh4dmxwin[.]world
aceh4dreal[.]pro
acehbolaskill[.]cfd
acehbolasolusi[.]cyou
tus4djackpot[.]com
aceh4dplay[.]world
aceh4dice[.]live
acehsportlive[.]art
acehbolaplays[.]space
apartement[.]id
aceh4dskill[.]cloud
acehbola[.]shop
acehbolaind[.]click
acehbolaupslot[.]xyz
bacan4dbegadang[.]pics
aceh4dpilihan[.]xyz
acehbolaeuro[.]site
aceh4dplace[.]cyou
aceh4dgreen[.]xyz
mediterraneanbeaches[.]com
aceh4dseru[.]top
terminalbetresmi[.]com
pocari-4d[.]com
magicalfourseasons[.]com
asayamind[.]com
environmentalistonline[.]com
couponornot[.]com
imagebarn[.]com
cerrajerosvalencia24horaslow[.]com
conchobar[.]com
aceh4dofficial[.]com
camchatscript[.]com
aceh4dhappy[.]cfd
homegrownhandmade[.]com](https://pbs.twimg.com/media/GrFSXOGX0AAhcEq.jpg)
Sitio posiblemente creado para suplantar al SII.
Como se viene todo el tema de la declaración de renta no sería de extrañar la creación de este tipo de sitios.
@1ZRR4H
🛜🍍? 👀
🚨 PVI: gracias a @Huntr3ssX y @V3n0mStrike ahora sabemos que esta campaña también apunta a clientes de LATAM Airlines y Movistar 🇨🇱
"Tus puntos están por caducar".
Algunos dominios utilizados:
- latamalirines[.]sbs
- movistai[.]top
- movistarr[.]vip
+ Panel de Admin 🇨🇳
![1ZRR4H's tweet photo. 🚨 PVI: gracias a @Huntr3ssX y @V3n0mStrike ahora sabemos que esta campaña también apunta a clientes de LATAM Airlines y Movistar 🇨🇱
"Tus puntos están por caducar".
Algunos dominios utilizados:
- latamalirines[.]sbs
- movistai[.]top
- movistarr[.]vip
+ Panel de Admin 🇨🇳 https://t.co/dSuKnULKDp](https://pbs.twimg.com/media/GhB2mWKWsAAyuAa.jpg)
🫨
🚩#Chile 🇨🇱: El grupo de ransomware #ransomhub anuncia dentro de sus victimas a la universidad tecnica Federico Santa Maria (usm[.]cl)
CC: @usantamaria
#infosec #ransomware #ransomhub #ciberseguridad #utfsm #cybersecurity #DarkWeb
![V3n0mStrike's tweet photo. 🚩#Chile 🇨🇱: El grupo de ransomware #ransomhub anuncia dentro de sus victimas a la universidad tecnica Federico Santa Maria (usm[.]cl)
CC: @usantamaria
#infosec #ransomware #ransomhub #ciberseguridad #utfsm #cybersecurity #DarkWeb https://t.co/kwGDvbVGK6](https://pbs.twimg.com/media/GbVKVlrXUAEVQwv.jpg)
🔴 Y llegó el día... ponen en venta la supuesta información robada al Banco/Grupo Santander.
Según el actor de amenaza, los registros incluyen (entre muchos otros):
▪ 30 millones de datos de clientes.
▪ 64 millones de datos de cuentas y saldos.
▪ 28 millones de tarjetas de crédito. (‼️)
▪ Listas de empleados de RRHH.
Valor: 30 BTC ($2 million USD).
* En la muestra de los archivos también hay uno que se llama "mail_pw.csv" 🤔
🚨 La página de Facebook del Club de Fútbol Universidad de Chile (@udechile) fue comprometida para distribuir una campaña de #phishing que busca secuestrar cuentas a través de la opción "Facebook para dispositivos" (https://t.co/HHMXtWWCAH), interesante método 🧐
Al parecer, es una campaña de origen brasileño.
Algunos dominios involucrados:
- agency-social.pages.mus[.]br/supportusersercurity
- supportmetaagency.everythingbench[.]com/
- socail.pages.mus[.]br/agencymetasupportuser
- dongkhung.abqbilliards[.]com/
Sin embargo, hay muchos más si buscamos por el dominio principal pages.mus[.]br (el kit es multilenguaje) > https://t.co/fGB7bl3TIm 🎣
![1ZRR4H's tweet photo. 🚨 La página de Facebook del Club de Fútbol Universidad de Chile (@udechile) fue comprometida para distribuir una campaña de #phishing que busca secuestrar cuentas a través de la opción "Facebook para dispositivos" (https://t.co/HHMXtWWCAH), interesante método 🧐
Al parecer, es una campaña de origen brasileño.
Algunos dominios involucrados:
- agency-social.pages.mus[.]br/supportusersercurity
- supportmetaagency.everythingbench[.]com/
- socail.pages.mus[.]br/agencymetasupportuser
- dongkhung.abqbilliards[.]com/
Sin embargo, hay muchos más si buscamos por el dominio principal pages.mus[.]br (el kit es multilenguaje) > https://t.co/fGB7bl3TIm 🎣](https://pbs.twimg.com/media/GOkCkuHW0AAFoNa.jpg)
1/ 🚨 Alerta para LatAm: Ciberataque golpea (nuevamente) la seguridad nacional del Perú 🇵🇪
🆕 #INCRansomware publicó al Ejército del Perú con 500 GB exfiltrados, en paralelo, el grupo #RansomEXX anunció al Ministerio de Defensa en su sitio en la Dark Web 757.5 GB exfiltrados.
🚨 En las últimas 48 horas, se han publicado 46 nuevas víctimas de #ransomware en los sitios de filtración de datos (DLS) monitoreados por CronUp 🚨
Acceso directo al panorama, noticias y alertas del momento aquí:
https://t.co/pfOhB9f8GQ
🚨 En las últimas 72 horas, se han publicado 45 nuevas víctimas de #ransomware en los sitios de filtración de datos (DLS) monitoreados por CronUp 🚨
Acceso directo al panorama, noticias y alertas del momento aquí:
https://t.co/UEXAOqkg6y
🚨 En las últimas 72 horas, se han publicado 18 nuevas víctimas de #ransomware en los sitios de filtración de datos (DLS) monitoreados por CronUp 🚨
Acceso directo al panorama, noticias y alertas del momento aquí:
https://t.co/nydYhlfPZq
Ojo con esto 🚨
🚨 El día 24-01-2024 detectamos el registro del dominio govs[.]cl a nombre de "abdifatah Ali".
Ayer, 27 de enero el sitio cambió y apareció una web con título "Validacion de Visas Electrónicas - MINREL" suplantando al Ministerio de Relaciones Exteriores de Chile 🇨🇱.
Mucho cuidado donde ingresan sus datos personales.
* Posible amenaza en desarrollo.
🥷 @Huntr3ssX
![1ZRR4H's tweet photo. 🚨 El día 24-01-2024 detectamos el registro del dominio govs[.]cl a nombre de "abdifatah Ali".
Ayer, 27 de enero el sitio cambió y apareció una web con título "Validacion de Visas Electrónicas - MINREL" suplantando al Ministerio de Relaciones Exteriores de Chile 🇨🇱.
Mucho cuidado donde ingresan sus datos personales.
* Posible amenaza en desarrollo.
🥷 @Huntr3ssX](https://pbs.twimg.com/media/GE81OY9WUAAZkYm.png)
🇨🇱 Nuevo dominio .cl registrado:
- mesadeayuda-interior-gob[.]cl
Perdón, pero dejamos por acá para consciencia de equipos de seguridad ofensivos y defensivos ;)
🥷 @Huntr3ssX
![1ZRR4H's tweet photo. 🇨🇱 Nuevo dominio .cl registrado:
- mesadeayuda-interior-gob[.]cl
Perdón, pero dejamos por acá para consciencia de equipos de seguridad ofensivos y defensivos ;)
🥷 @Huntr3ssX https://t.co/wL9u1copHo](https://pbs.twimg.com/media/GDqSa71WsAA0iTt.jpg)
Last Seen Users on Sotwe
ليبي زباب
Seen from Egypt
AlSAFFEL🔥
Seen from Egypt
Arda
Seen from Turkey
ri
Seen from Indonesia
HOBI NENEN
Seen from Indonesia
اعترافات السوري /قصي/
Seen from Oman
Elita - Rtv Pink 
Seen from France
Saitama Héroe por diversión
Seen from Panama
khan khan
Seen from Netherlands
aguss
Seen from Indonesia
Most Popular Users
Elon Musk
@elonmusk
240.2M followers
Barack Obama
@barackobama
119.3M followers
Donald J. Trump
@realdonaldtrump
111.6M followers
Cristiano Ronaldo
@cristiano
109.3M followers
Narendra Modi
@narendramodi
106.9M followers
Rihanna
@rihanna
97.4M followers
NASA
@nasa
92.1M followers
Justin Bieber
@justinbieber
90.6M followers
KATY PERRY
@katyperry
87M followers
Taylor Swift
@taylorswift13
80.8M followers
Lady Gaga
@ladygaga
72.4M followers
Kim Kardashian
@kimkardashian
69.5M followers
Virat Kohli
@imvkohli
68.9M followers
YouTube
@youtube
68.6M followers
Bill Gates
@billgates
63.5M followers
The Ellen Show
@theellenshow
62.5M followers
CNN
@cnn
61.9M followers
Neymar Jr
@neymarjr
61.5M followers
X
@x
60.9M followers
Selena Gomez
@selenagomez
60.1M followers