lunes, 12 de diciembre de 2016

Análisis de una Botnet usada para Phishing

Quizás estemos acostumbrados a que los atacantes inviertan en la “compra" de dominios y servidores "bulletproof" para desplegar sus campañas de malware y alargar los cierres todo lo posible. Pero en el mundo del phishing, cuyo rendimiento económico por usuario afectado suele ser menor, podemos entender que utilicen otras técnicas más "económicas" para hacer un despliegue masivo de campañas y prioricen vulnerar o reutilizar servidores ya vulnerados.

Recientemente al analizar y realizar el cierre de las últimas campañas que nos llegaban al departamento antifraude, pudimos comprobar en una de ellas dos patrones comunes: múltiples niveles de redirección y una vulnerabilidad común a todos los servidores utilizados para enmascarar/desplegar el phishing.

Redirecciones

Sobre el primer patrón, es habitual que el atacante utilice algún redirector o acortador de URLs para llevar a los visitantes al phishing, pero esta vez existían múltiples niveles de redirección para filtrar a los posibles afectados, así como bloquear y dificultar los cierres ya que enmascaraban mediante subdominios fraudulentos los verdaderos servidores/IP donde residía la lógica de la campaña.

Principalmente se utilizaba un acortador de URLs (tinyrul, goo.cl o similar) para la campaña de correos masivos que recibían los usuarios. Seguidamente se redireccionaba al visitante a dos dominios fraudulentos, uno donde se filtraba mediante un abultado ".htaccess" a los visitantes por GeoIP (cerca de 5MB) y un segundo para enmascarar la IP del servidor comprometido donde residía el phishing. Éste sería el croquis:

[ Acortador URL ] → [ 1er subdominio redirección ] → [ IP con redirección por GeoIP ] → 
  [ 2º subdominio redirección ]→ [ IP con el phishing final ]

Como ejemplo, estos fueron parte de los subdominios montados y utilizados:

Cada uno de ellos (subdominios) resolvía a una IP distinta a la del dominio principal, donde residía toda la lógica de la campaña.

Servidores vulnerados

El segundo patrón común ha sido el uso de servidores comprometidos, tanto para los dominios de redirección (mediante subdominios montados en cpanels/wordpress comprometidos) como para los servidores que albergaban la lógica de redirección y el servidor final con el phishing.

Es en esta parte donde pudimos comprobar que todos ellos utilizaban JBoss vulnerables. Bien por ser versiones antiguas sin actualizar (como la 5.x) o, sobre todo, por no proteger adecuadamente el acceso a la consola de administración (jmx-console) (CVE-2010-0738) o a ‘invokers’ accesibles como ‘JMXInvokerServlet’(CVE-2007-1036, entre otros).


Pudimos comprobar también que algunos servidores llevaban comprometidos desde hace tiempo, ya que respondían a ciertas peticiones conocidas por un gusano de 2010/2011:


Y para empeorar las cosas, servicios en modo ROOT:



Esto sirvió al atacante para tener, de manera cómoda, una lista de servidores JBoss para su botnet; mediante una variante del script en perl ‘Shellbot/Perlbot’ de origen brasileño utilizado para montar botnets de tipo IRC. Tanto por las modificaciones realizadas, como por la similitud con anteriores campañas que hemos registrado en nuestros sensores, tenemos cierta certeza que el atacante es de origen marroquí.


Como comentábamos en nuestra una-al-día, a día de hoy existen más de 30 servidores comprometidos, aunque están siendo monitorizados desde nuestro departamento para prevenir cualquier apertura de nuevas campañas.



Más información:

Una-al-día: Phishing botnet: nueva campaña que afecta a diversas entidades bancarias europeas



José Mesa Orihuela