Quizás
estemos acostumbrados a que los atacantes inviertan en la “compra" de dominios y servidores "bulletproof" para desplegar sus campañas de malware y alargar
los cierres todo lo posible. Pero en el mundo del phishing, cuyo rendimiento
económico por usuario afectado suele ser menor, podemos entender que utilicen
otras técnicas más "económicas"
para hacer un despliegue masivo de campañas y prioricen vulnerar o reutilizar
servidores ya vulnerados.
Recientemente al analizar y
realizar el cierre de las últimas campañas que nos llegaban al departamento antifraude, pudimos
comprobar en una de ellas dos patrones comunes: múltiples niveles de
redirección y una vulnerabilidad común a todos los servidores utilizados para
enmascarar/desplegar el phishing.
Redirecciones
Sobre el primer patrón, es
habitual que el atacante utilice algún redirector o acortador de URLs para
llevar a los visitantes al phishing, pero esta vez existían múltiples niveles
de redirección para filtrar a los posibles afectados, así como bloquear y
dificultar los cierres ya que enmascaraban mediante subdominios fraudulentos
los verdaderos servidores/IP donde residía la lógica de la campaña.
Principalmente se utilizaba un
acortador de URLs (tinyrul, goo.cl o similar) para la campaña de correos
masivos que recibían los usuarios. Seguidamente se redireccionaba al visitante
a dos dominios fraudulentos, uno donde se filtraba mediante un abultado ".htaccess" a los visitantes por
GeoIP (cerca de 5MB) y un segundo para enmascarar la IP del servidor
comprometido donde residía el phishing. Éste sería el croquis:
[ Acortador URL ] → [ 1er
subdominio redirección ] → [ IP con redirección por GeoIP ] →
[ 2º subdominio redirección ]→ [ IP con el
phishing final ]
Como ejemplo, estos fueron parte
de los subdominios montados y utilizados:
Cada uno de ellos (subdominios)
resolvía a una IP distinta a la del dominio principal, donde residía toda la
lógica de la campaña.
Servidores vulnerados
El segundo patrón común ha sido
el uso de servidores comprometidos, tanto para los dominios de redirección
(mediante subdominios montados en cpanels/wordpress comprometidos) como para
los servidores que albergaban la lógica de redirección y el servidor final con
el phishing.
Es en esta parte donde pudimos
comprobar que todos ellos utilizaban JBoss vulnerables. Bien por ser versiones
antiguas sin actualizar (como la 5.x) o, sobre todo, por no proteger
adecuadamente el acceso a la consola de administración (jmx-console) (CVE-2010-0738)
o a ‘invokers’ accesibles como ‘JMXInvokerServlet’(CVE-2007-1036, entre
otros).
Pudimos comprobar también que
algunos servidores llevaban comprometidos desde hace tiempo, ya que respondían
a ciertas peticiones conocidas por un gusano de 2010/2011:
Y para empeorar las cosas,
servicios en modo ROOT:
Esto sirvió al atacante para tener,
de manera cómoda, una lista de servidores JBoss para su botnet; mediante una
variante del script en perl ‘Shellbot/Perlbot’
de origen brasileño utilizado para montar botnets de tipo IRC. Tanto por las
modificaciones realizadas, como por la similitud con anteriores campañas que
hemos registrado en nuestros sensores, tenemos cierta certeza que el atacante
es de origen marroquí.
Como comentábamos en nuestra
una-al-día, a día de hoy existen más
de 30 servidores comprometidos, aunque están siendo monitorizados desde
nuestro departamento para prevenir cualquier apertura de nuevas campañas.
Más información:
Una-al-día: Phishing botnet:
nueva campaña que afecta a diversas entidades bancarias europeas
José Mesa Orihuela