|

Campaña de Phishing – Falsas Promociones Adidas en Facebook

Byets Consulting

El equipo SOC de ets Consulting identificó una campaña activa de phishing que suplanta la marca Adidas, difundida a través de publicaciones en Facebook donde se promocionan supuestas ofertas o liquidaciones especiales. El objetivo del ataque es redirigir a las víctimas a un dominio malicioso que imita el sitio oficial de Adidas en El Salvador, utilizando técnicas de homograph attack (ataque por caracteres visualmente similares) para engañar al usuario.

Fecha de investigación: 26 de febrero de 2026

Vector de Propagación

La campaña fue detectada en una publicación de Facebook realizada por un perfil recientemente creado, sin historial verificable y con uso de imágenes promocionales obtenidas desde Pinterest. La publicación promociona supuestas ofertas de Adidas e incluye un enlace externo hacia el dominio malicioso.

Campaña de Phishing
Captura de pantalla de un perfil utilizado en un intento de phishing. El perfil presenta características típicas de cuentas fraudulentas utilizadas para establecer contacto inicial con la víctima.
Captura de pantalla de un perfil utilizado en un intento de phishing. El perfil presenta características típicas de cuentas fraudulentas utilizadas para establecer contacto inicial con la víctima.

URL identificada:

hxxps://seasonal-sale[.]in/аdіdаs.sv

Al copiar el enlace desde Facebook, se observa el redireccionamiento propio de la plataforma mediante l.facebook.com antes de redirigir al dominio final.

Análisis del Enlace Malicioso

Técnica Utilizada – Homograph Attack

El análisis de la URL mediante herramientas como CyberChef (operaciones URL Decode + To Charcode) permitió identificar el uso de caracteres del alfabeto cirílico que visualmente son similares a los del alfabeto latino.

Análisis de la URL mediante herramientas como CyberChef

Ejemplo de caracteres utilizados:

  • 0430 – ‘а’ (Cirílico)
  • 0456 – ‘і’ (Cirílico)
  • 64 – ‘d’ (Latino)
  • 73 – ‘s’ (Latino)
  • 2e – ‘.’
  • 76 – ‘v’ (Latino)

Este tipo de técnica se conoce como IDN Homograph Attack y permite crear dominios visualmente idénticos a los legítimos.

Si se utiliza una plataforma de Threat Intelligence como puede ser Any.run se puede observar la diferencia que existe entre las letras del abecedario cirílico y el latino.

IDN Homograph Attack

Análisis del Dominio

Dominio identificado: seasonal-sale[.]in

El dominio tenía 16 días desde su creación al momento de la investigación. Se trata de un dominio reciente utilizado para campañas de phishing de corta duración.

Análisis del Dominio

Perfil del usuario falso:

El perfil utilizado para publicar la promoción fraudulenta fue creado cinco días antes de la investigación, lo que constituye un indicador típico de cuentas desechables utilizadas en campañas de phishing.

Perfil del usuario falso
Publicación fraudulenta

Se determinó que la imagen promocional empleada en la publicación fraudulenta fue extraída desde Pinterest, lo que evidencia el uso de recursos públicos para reforzar la credibilidad de la campaña de suplantación.

Indicadores de Compromiso (IoC)

  • seasonal-sale[.]in
  • seasonal-sale[.]in/аdіdаs[.]sv

Técnica: IDN Homograph Attack – Brand Impersonation – Phishing en redes sociales

Riesgo Identificado

  • Robo de información personal y financiera.
  • Posible captura de credenciales.
  • Fraude financiero.
  • Daño reputacional a la marca suplantada.

Recomendaciones

Prevención de estafas en línea

Para usuarios:

  • Verificar cuidadosamente el dominio antes de ingresar información.
  • Desconfiar de promociones excesivamente atractivas.
  • Reportar publicaciones sospechosas.
Monitoreo contra suplantación digital

Para organizaciones:

  • Implementar monitoreo de suplantación de marca.
  • Fortalecer campañas de concientización sobre homograph attacks.
  • Reportar el dominio a proveedores de hosting y registradores.

Referencias:

La presente investigación fue realizada por el Equipo SOC de ets Consulting, como parte de sus actividades de monitoreo, análisis de amenazas y generación de inteligencia en ciberseguridad.

El análisis técnico fue desarrollado por el investigador identificado bajo el seudónimo Charmander – SOC Researcher Alias.

El uso de seudónimos responde a políticas internas de protección de identidad del personal técnico involucrado en labores de investigación, análisis de amenazas y monitoreo de incidentes.

La información presentada fue obtenida mediante técnicas de OSINT (Open Source Intelligence), análisis de infraestructura web, decodificación de caracteres Unicode y verificación en plataformas de Threat Intelligence.