Un reclamo recurrente en los correos electrónicos de phishing que se hacen pasar por United Healthcare es la promesa de un cepillo de dientes Oral-B gratuito. Pero lo interesante no es el cepillo de dientes, sino el enlace.
Recientemente hemos descubierto que estos phishers han dejado de utilizar Microsoft Azure Blob Storage (enlaces con este aspecto:
https://{string}.blob.core.windows.net/{same string}/1.html
a enlaces ofuscados mediante el uso de una dirección IPv4 mapeada a IPv6 para ocultar la IP de una forma que parece confusa, pero que sigue siendo perfectamente válida y enrutable. Por ejemplo:
http://[::ffff:5111:8e14]/
En las URL, poner una IP entre corchetes significa que es un literal IPv6. Por lo tanto, [::ffff:5111:8e14] se trata como una dirección IPv6.
::ffff:x:y es un formato estándar denominado dirección IPv6 mapeada a IPv4, que se utiliza para representar una dirección IPv4 dentro de la notación IPv6. Los últimos 32 bits (el x:y parte) codifica la dirección IPv4.
Por lo tanto, necesitamos convertir 5111:8e14 a una dirección IPv4. 5111 y 8e14 son números hexadecimales. En teoría, eso significa:
- 0x5111 en decimal = 20753
- 0x8e14 en decimal = 36372
Pero para las direcciones mapeadas en IPv4, realmente tratamos esos últimos 32 bits como cuatro bytes. Si desempaquetamos 0x51 0x11 0x8e 0x14:
- 0x51 = 81
- 0x11 = 17
- 0x8e = 142
- 0x14 = 20
Por lo tanto, la dirección IPv4 a la que conduce esta URL es 81.17.142.20.
Los correos electrónicos son variaciones de una recompensa falsa de estafadores que se hacen pasar por United Healthcare y utilizan un cepillo de dientes Oral-B iO de alta gama como cebo. Las víctimas son enviadas a una página de destino de rápida rotación donde el objetivo final probable es la recopilación de información de identificación personal (PII) y datos de tarjetas bajo el pretexto de confirmar la elegibilidad o pagar una pequeña tarifa de envío.
Cómo mantenerse seguro
¿Qué hacer si ha introducido sus datos?
Si ha enviado los datos de su tarjeta:
- Póngase en contacto con su banco o con la entidad emisora de la tarjeta inmediatamente y cancele la tarjeta.
- Disputar cualquier cargo no autorizado
- No espere a que se produzca el fraude. Los datos de tarjetas robadas suelen utilizarse rápidamente.
- Cambia las contraseñas de las cuentas vinculadas a la dirección de correo electrónico que proporcionaste.
- Realice un análisis completo con un producto de seguridad de confianza.
Otras formas de mantenerse seguro:
- Mantenga su dispositivo y software actualizados.
- Utilice una solución antimalware actualizada y en tiempo real con protección web habilitada.
- Si no estás seguro de si algo es una estafa, Malwarebytes puedenenviar mensajes sospechosos a Scam Guardpara su revisión.
Indicadores de compromiso (IOC)
81.17.142.40
15.204.145.84
redirectingherenow[.]com
redirectofferid[.]pro
¿Te parece que algo no va bien? Compruébalo antes de hacer clic.
Malwarebytes Guardte ayuda a analizar al instante enlaces, mensajes de texto y capturas de pantalla sospechosos.
Disponible conMalwarebytes Premium para todos tus dispositivos, y en laMalwarebytes para iOS Android.
