Nuestro Laboratorio Antifraude ha detectado una nueva campaña de phishings que está afectando a diversas entidades europeas, entre ellas algunas españolas como Banco Santander y que como particularidad está utilizando una botnet de servidores JBoss comprometidos.
El término botnet casi siempre está unido a familias de malware como pudieran ser Zeus, Spyeye o la última detectada para Android, Gooligan. Sin embargo existen múltiples tipos de botnets para diferentes causas: SPAM, denegaciones de servicio (como Mirai), o despliegue de campañas phishings, como el que nos atañe.
Durante el proceso de detección y cierre que hemos llevado a cabo, hemos podido comprobar que las entidades afectadas eran Deutsche Bank (Alemania), BancaMarche y Posteitaliane (Italia) y al Banco Santander en España en otros.
 |
 |
 |
 |
La campaña de phishing detectada es bastante sencilla en su diseño: un html que carga un fondo previamente capturado del portal principal de la entidad y un formulario que captura los datos y los envía al atacante:
Pero donde gana en complejidad es en su despliegue, con el uso de diferentes tipos de redirección, mediante acortadores de URLs para la campaña de mail masivo y dominios de redirección y con el uso de sitios web comprometidos. Todo ello en búsqueda de frenar los cierres y dar tiempo a montar nuevos sitios comprometidos según van cayendo. También llegan a utilizar técnicas de GeoIP para impedir la visita a aquellos usuarios que no sean objetivo de la campaña, de esta forma sólo muestran el phishing adecuado a cada país.
Una vez comprobados todos estos filtros se expone al visitante el phishing final, que durante nuestros análisis hemos podido comprobar que se encuentran albergados en servidores JBoss vulnerables previamente comprometidos. Es aquí donde hemos podido detectar como novedad en este tipo de casos de phishing, de la presencia de una botnet mediante IRC que controlaba el despliegue de las campañas finales, según se realizaban los mailings masivos a los usuarios.
Ejemplo de la última campaña desactivada es la IP 34.192.25.188, de la que se pueden comprobar los dominios fraudulentos asociados que redireccionaban a la misma:
Por el momento la botnet se encuentra activa y está compuesta por más de 30 servidores comprometidos. Por lo que no dudamos, y según las fechas en las que nos encontramos, se activen nuevas campañas.
Hemos recogido en una entrada denuestro blog del Laboratorio todo el análisis técnico e investigación realizada para el que quiera profundizar en ello.
Por nuestra parte recomendamos como siempre no abrir correos de los que no sepamos su procedencia y aplicar todas las medidas oportunas y sentido común.
Más información:
una-al-dia (02/12/2016) Malware para Android compromete más de un millón de cuentas de Google
Blog Laboratorio Hispasec: Análisis de una Botnet usada para Phishing
José Mesa Orihuela
Deja una respuesta