lunes, 12 de diciembre de 2016

Análisis de una Botnet usada para Phishing

Quizás estemos acostumbrados a que los atacantes inviertan en la “compra" de dominios y servidores "bulletproof" para desplegar sus campañas de malware y alargar los cierres todo lo posible. Pero en el mundo del phishing, cuyo rendimiento económico por usuario afectado suele ser menor, podemos entender que utilicen otras técnicas más "económicas" para hacer un despliegue masivo de campañas y prioricen vulnerar o reutilizar servidores ya vulnerados.

Recientemente al analizar y realizar el cierre de las últimas campañas que nos llegaban al departamento antifraude, pudimos comprobar en una de ellas dos patrones comunes: múltiples niveles de redirección y una vulnerabilidad común a todos los servidores utilizados para enmascarar/desplegar el phishing.

Redirecciones

Sobre el primer patrón, es habitual que el atacante utilice algún redirector o acortador de URLs para llevar a los visitantes al phishing, pero esta vez existían múltiples niveles de redirección para filtrar a los posibles afectados, así como bloquear y dificultar los cierres ya que enmascaraban mediante subdominios fraudulentos los verdaderos servidores/IP donde residía la lógica de la campaña.

Principalmente se utilizaba un acortador de URLs (tinyrul, goo.cl o similar) para la campaña de correos masivos que recibían los usuarios. Seguidamente se redireccionaba al visitante a dos dominios fraudulentos, uno donde se filtraba mediante un abultado ".htaccess" a los visitantes por GeoIP (cerca de 5MB) y un segundo para enmascarar la IP del servidor comprometido donde residía el phishing. Éste sería el croquis:

[ Acortador URL ] → [ 1er subdominio redirección ] → [ IP con redirección por GeoIP ] → 
  [ 2º subdominio redirección ]→ [ IP con el phishing final ]

Como ejemplo, estos fueron parte de los subdominios montados y utilizados:

Cada uno de ellos (subdominios) resolvía a una IP distinta a la del dominio principal, donde residía toda la lógica de la campaña.

Servidores vulnerados

El segundo patrón común ha sido el uso de servidores comprometidos, tanto para los dominios de redirección (mediante subdominios montados en cpanels/wordpress comprometidos) como para los servidores que albergaban la lógica de redirección y el servidor final con el phishing.

Es en esta parte donde pudimos comprobar que todos ellos utilizaban JBoss vulnerables. Bien por ser versiones antiguas sin actualizar (como la 5.x) o, sobre todo, por no proteger adecuadamente el acceso a la consola de administración (jmx-console) (CVE-2010-0738) o a ‘invokers’ accesibles como ‘JMXInvokerServlet’(CVE-2007-1036, entre otros).


Pudimos comprobar también que algunos servidores llevaban comprometidos desde hace tiempo, ya que respondían a ciertas peticiones conocidas por un gusano de 2010/2011:


Y para empeorar las cosas, servicios en modo ROOT:



Esto sirvió al atacante para tener, de manera cómoda, una lista de servidores JBoss para su botnet; mediante una variante del script en perl ‘Shellbot/Perlbot’ de origen brasileño utilizado para montar botnets de tipo IRC. Tanto por las modificaciones realizadas, como por la similitud con anteriores campañas que hemos registrado en nuestros sensores, tenemos cierta certeza que el atacante es de origen marroquí.


Como comentábamos en nuestra una-al-día, a día de hoy existen más de 30 servidores comprometidos, aunque están siendo monitorizados desde nuestro departamento para prevenir cualquier apertura de nuevas campañas.



Más información:

Una-al-día: Phishing botnet: nueva campaña que afecta a diversas entidades bancarias europeas



José Mesa Orihuela



17 comentarios:

  1. what is this i can not understand
    http://superstarlife.net/

    ResponderEliminar
  2. it's difficult to understand...
    Anyway thanks
    http://www.imnepal.com/hindi-shadi-marriage-wedding-shayari-sms-messages

    ResponderEliminar
  3. Thanks for sharing such a great contents.
    Thanks and best regards.
    http://www.happybirthdayfor.com/happy-birthday-wishes-facebook-friends

    ResponderEliminar
  4. You have made interesting and relevant points in your post. Thank you for giving me some useful insights!

    ResponderEliminar
  5. Since it has a lot of vitamin A, E and C, it is considered to be a superfood. These vitamins are great for improving immune functions. By getting more antioxidants in your diet, you'll boost your immune system to fight off anything that may be trying to harm you. You can use it as an antioxidant and to add more color and flavor to foods you cook. This fruit can help your body produce its own vitamin A and E as well. Just a half cup of green avocado a day can improve your eyesight.

    ResponderEliminar
  6. You have nice post. Check this profile for more interesting stuffs. Awesome! 바카라사이트

    ResponderEliminar
  7. Excellent post. I was always check this blog, and I’m impressed. Greatjob! 카지노사이트

    ResponderEliminar
  8. Im grateful for the article post. Really thank you! Will read on for your next update. 카지노사이트

    ResponderEliminar
  9. Thankyou for sharing the info. Keep on sharing, waiting for your next updates 온라인카지노

    ResponderEliminar
  10. excellent website The information is really clearly written. Keep up the fantastic work. Man, keep writing! Actually, I'm appreciative of your fantastic post you have here. Good work!
    leyes de divorcio en virginia

    ResponderEliminar
  11. I want to express my gratitude for your outstanding blog. Your dedication to creating valuable and thought-provoking content is evident in each post. Your blog has become a trusted source for insightful information and inspiration. Keep up the great work—you're making a meaningful impact! Traffic Ticket lawyer Bergen County New Jersey and Driving Suspended License Misdemeanor New Jersey

    ResponderEliminar
  12. Interesting and informative post to read. Great writing by the author. It makes the article more interesting to read. Expecting more good blogs from the author. Fairfax Virginia DUI Lawyer

    ResponderEliminar
  13. Great blog, I am very excited to read this thank you for sharing more interested blog. Dropping domestic violence charges in virginia

    ResponderEliminar
  14. Hats off to the Fairfax Traffic Lawyer professionals! Their stellar service and expert handling of my case resulted in a positive outcome. Their meticulous attention to detail and unwavering commitment truly distinguish them.

    ResponderEliminar
  15. Lead Legal Jargon with Our Skilled Fairfax, Virginia Traffic Attorneys." Count on Us to Make Your Way to a Resolution Clear. Skilled Representation for License Issues, Traffic Violations, and Other Matters. Here's Where Your Journey to Justice Begins.Traffic Lawyer Fairfax VA

    ResponderEliminar