El pasado viernes publicamos un boletín alertando sobre un ataque
phishing a gran escala contra entidades bancarias españolas que además
intentaba troyanizar el sistema. En el laboratorio de Hispasec,
detectamos varias URL en un corto periodo de tiempo, con un
comportamiento muy sospechoso. Ante el interés que ha despertado la
noticia, aclaramos algunos detalles.
La pasada semana detectamos en Hispasec un kit de phishing que afectaba
a 35 entidades españolas, todos en un mismo servidor. Lo importante en
este caso era que aparecieron varios en pocos días y sobre todo, que
además se estaba intentando infectar a quien lo visitase. A través de un
JavaScript, la página intentaba ejecutar código y hacerse con el
sistema. En algunos casos, lo único que intentaban era desestabilizar el
navegador realizando ataques de JavaScritp.
Los phishings estaban alojados en páginas legítimas comprometidas,
normalmente en algún directorio interno de la web. La estructura solía
ser:
http://www.XXXXX.ZZ/XXXX/s/(banco)
Habiendo encontrado dominios de Rusia, Brasil y .ORG. Donde «banco»
representa el código de la entidad afectada. Hasta 35 por dirección.
Todas españolas. Las entidades a las que pretendía simular son:
Bancaja, Banca March, Bankinter, Bankoanet, BBK, BBVANet, Banco
Guipuzcoano, Caixa Catalunya, Caixanova, Caja España, CajaMadrid,
CajaMurcia, CajaSur, Caja Mediterraneo, Caja Canarias, Caja Castilla La
Mancha, Caja Navarra, Deutsche Bank, Caixa Geral, Banco Herrero,
IberCaja, ING Direct, Kutxa, Caixa d’Estalvis Laietana, Caixa Ontinyent,
OpenBank, Caja Rural, Banco Sabadell, Solbank, Caixa Tarragona, Unicaja,
Banco Urquijo, VitalNet.
A día de hoy, ninguna de las direcciones que detectamos la semana pasada
en el laboratorio de Hispasec siguen activas, aunque esto no indica que
no existan otras o que las anteriores no sean reactivadas en un futuro.
Se encontraban diferentes «sorpresas» según el banco visitado. El ataque
resultaba bastante enrevesado, tanto por su diversidad como por la
complejidad de cifrado de algunos códigos. Aun así el Hispasec ha
detectado en qué malware estaba basado y dónde se alojaba. Ocultamos
deliberadamente las direcciones que alojaban los troyanos porque todavía
siguen activas.
Cuando se visitaban los phishing y se conseguía ejecutar código (a
través de vulnerabilidades en el navegador, con lo que los sistemas
actualizados en principio podían sentirse más protegidos), se comunicaba
con un servidor para descargar el archivo ie_updates3r.exe. Este es un
«downloader» que se copia a %system32%/_svchost.exe y comienza a
descargar otro software, comportándose como servicio llamado «Microsoft
Inet Service». La lista de troyanos que intenta descargar (sus nombres
reales, no así las direcciones) es:
http://11.22.33.44/abba.exe
http://11.22.33.44/eagle.exe
http://11.22.33.44/25319.exe
http://11.22.33.44/sp_lin1_v171_3.exe
http://11.22.33.44/install.exe
http://11.22.33.44//id3216.exe
http://11.22.33.44/01112.exe
http://11.22.33.44 2//krea.exe
http://11.22.33.44/ldig001.exe
http://11.22.33.44/fds1010.exe
En la web, cada uno muestra además un contador de descarga. Actualmente
llevan casi 300 cada uno.
abba.exe es una variante de Trojan.Pandex, mientras que el resto está
destinado a que el sistema se convierta en un enviador de basura (spam).
El ataque ha resultado una especie de laberinto, con funciones
JavaScript ofuscadas dentro de otras cifradas ocultas a su vez bajo
cadenas codificadas. Si bien este tipo de ataques se usan a menudo, lo
realmente llamativo es que se haya realizado el ataque tomando como base
páginas de phishing de bancos españoles. El ataque parecía provenir de
Rusia.
ssantos@hispasec.com
Más información:
una-al-dia (23/11/2007) Ataque phishing a gran escala contra entidades bancarias españolas que además intenta troyanizar el sistema
http://www.hispasec.com/unaaldia/3317/
Deja un comentario