Noticias

¡Cuidado! Phishing con troyano adjunto redirige a sitio falso de Banamex

Hace unas semanas un amigo nos reenvió al equipo de Seekurity un correo, enviado supuestamente por Banamex. Al revisar el correo, se me hizo extraño que el código fuente de la página a la cual te redirigían los links dentro del correo, estuviera comentado! Lo primero que pensé fue: ¡Un buen programador, siempre debe de comentar su código!.

Esto es una parte del código comentado:

10524335_10153578230539370_2521388741959389686_n

Cuando analizo phishing, primero reviso la mayor información posible de la empresa suplantada. Al revisar la página de inicio de sesión en el sitio original de Banamex, me di cuenta que el código de la página falsa, era una copia casi exacta a la original. Las diferencias eran algunas líneas de código que realizaban acciones hacia los servidores de los criminales.

Hoy estaba leyendo algunos artículos en Softpedia y me topé con este: New Trojan Uses Fiddler to Redirect Infected Users to Phishing Sites – Only targets users of one Mexican bank, for now.

Está fechado al 6 de Mayo, lo más preocupante es que recibimos el correo de mi amigo en Marzo y todo indica que es el mismo correo. Lo que quiere decir que al menos tiene 2 meses activa esta campaña de phishing!

 

Veamos dos definiciones importantes si no están familiarizados con estos términos:

¿Qué es Phishing? Wikipedia define Phishing o suplantación de identidad, como un término informático que denomina un modelo de abuso informático y que se comete mediante el uso de un tipo de ingeniería social, caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito otra información bancaria).
¿Que es Finddler? Esta herramienta permite capturar el tráfico entrante y saliente de tu computadora hacía Internet, monitorea los datos, modifica las peticiones y las respuestas antes de que el navegador las reciba. Sin embargo, la función más importante en la cual se basa este phishing, es que permite realizar una copia exacta de cualquier sitio.

 

El correo contiene un archivo adjunto (malware) el cual, según investigadores de seguridad de la compañía Zscaler, descubrieron que está desarrollado bajo herramientas como Finddler y JSON.NET, las cuales son utilizadas para el desarrollo de programas y aplicaciones web no maliciosas, por lo tanto las aplicaciones desarrolladas con estas herramientas, no pueden ser detectadas como maliciosas por algún antivirus. También identificaron que las técnicas utilizadas para la distribución del malware deja mucho que desear, por lo cual, es fácil para los usuarios poder detectarlo.

 

¿Cómo puedo identificarlo?

Muchos tipos de malware, suelen ocultarse bajo extensiones falsas como “.pdf” y cambian su icono por el de un archivo pdf real, para engañar fácilmente al usuario. Este troyano olvida realizar el cambio en su icono, por lo cual, un archivo con extensión “.pdf” sin icono o distinto al icono que todos conocemos, no dudes en eliminar inmediatamente el correo sin abrir el archivo.

El objetivo de este troyano (por ahora) son Sistemas Operativos que ya no cuentan con soporte oficial por parte de Microsoft: Windows XP, Windows XP Profesional 64-bits y Windows Server 2003, así las vulnerabilidades que tengan dichos SO’s, no contarán con un parche y le deja un camino fácil a los criminales.

 

¿Cómo funciona?

Al ejecutar el archivo, inicia una conexión con un servidor maestro del cual recibe un archivo de configuración cada 10 minutos a través de un JSON (JSON.NET), dicho archivo es leído y ejecutado en el equipo infectado, el usuario es redirigido al sitio malicioso con ayuda de Fiddler. Para este caso, el tráfico del usuario no es leído, ni tampoco extrae información del equipo infectado, sino sirve para redirigir al usuario hacía el servidor controlado por los criminales, dónde se espera que el usuario ingrese sus credenciales bancarias y así puedan capturar dichas credenciales y tener acceso a las cuentas.

Analicé las peticiones entre mi equipo y el servidor mientras me redirigían hacía el servidor maestro y pude ver algunas peticiones hacia el sitio original de Banamex. Así, el sitio falso se dirige hacia el sitio original de Banamex y extrae imágenes, diseños y todos los archivos posibles que le permiten tener exactamente la misma imagen que el sitio original.

Esto no quiere decir que Banamex sea el único banco afectado, probablemente ya tengan otros bancos en la mira y mejorando las técnicas de ocultamiento.

 

Hiramcoop

Hiramcoop

Reader • Speaker | Linux • Technology • Science • Physics • Universe | InfoSec • CyberSec | Security Researcher |
Seekurity.com

Previous post

Bug en Facebook permite eliminar tus notificaciones importantes

Next post

Hot Sales de LinkedIn! Hacker vende 167 millones de contraseñas