Phishing, malware y servidores vulnerados
En el día de hoy nos han reportado un caso de Phishing al Banco de Crédito BCP de Perú en donde además del sitio falso, en los servidores vulnerados, se ha alojado archivos dañinos y distintos tipos de amenazas.
Originalmente, el usuario recibe el siguiente correo electrónico a través de spam (errores incluidos):
Si el usuario hace clic sobre el enlace, ingresará al sitio falso alojado en un servidor vulnerado y utilizado para almacenar este tipo de archivos. Inicialmente el primer sitio http://[ELIMINADO]troperu.com/descarga/set.php conducirá a segundo sitio http://[ELIMINADO]music.com/bcpzonasegura.viabcp.com/bcp/OperacionesEnLinea, con el siguiente aspecto.
Si se analiza el primer servidor vulnerado, se puede ver que además del sitio falso también existe un archivo que conduce a la descarga de un archivo dañino, en un tercer servidor vulnerado. En este caso se puede ver que la descarga del archivo ejecutable es bloqueado por el antivirus.
De todos modos, al analizar este tercer servidor, se puede encontrar que el mismo es controlado por los delincuentes a través de Shell PHP y que además existen otros archivos dañinos alojados en el mismo como por ejemplo uno que hace mención a la empresa de telefonía Claro y otros scripts PHP utilizados para distintos fines.
En algunos de estos archivos se puede encontrar información de otros servidores utilizados para este engaño:
E incluso se puede encontrar la dirección de correo del delincuente:
Como podemos ver, las vulnerabilidades en los sitios web son una de las principales armas que los delincuentes pueden usar para llevar adelante sus engaños y, lamentablemente los administradores se terminan convirtiendo en sus "complices", sin desearlo ni saberlo.
Cristian de la Redacción de Segu-Info
Originalmente, el usuario recibe el siguiente correo electrónico a través de spam (errores incluidos):
Estimado Cliente :
Segun nuestros registros informaticos, hemos detectado recientemente que los accesos a su cuenta a traves de Banca en la Red han sido realizados desde diferentes direcciones IP.
Esto seguramente se debe a que la direccion IP de su computador es dinamica y varia constantemente, o debido a que usted ha utilizado mas de un computador para acceder a su cuenta.
Debido a este suceso y en cumplimiento con la nueva normativa vigente, hemos actualizado nuestros sistemas informaticos para brindar una mayor seguridad a nuestros clientes, por lo cual necesitaremos que ingrese en su cuenta y efectue una verificacion de su actividad reciente. Los procedimientos de seguridad requieren que usted verifique la actividad en su cuenta antes del 07 de JULIO del 2011.
Transcurrida esa fecha, el sistema informatico automatizado dara de baja su cuenta. Asi mismo le recordamos que este correo no es para verificar los datos de su tarjeta es solo para verificar la actividad, ya que no lo hacemos.
De ante mano le agradecemos su cooperacion en este aspecto.
Para ingresar a su cuenta a traves de Banca en la Red y verificar la actividad de la misma, debe utilizar el siguiente enlace:
https://bcpzonasegura.viabcp.com/bcp/OperacionesEnLinea/ <-- enlace al sitio falso
Si el usuario hace clic sobre el enlace, ingresará al sitio falso alojado en un servidor vulnerado y utilizado para almacenar este tipo de archivos. Inicialmente el primer sitio http://[ELIMINADO]troperu.com/descarga/set.php conducirá a segundo sitio http://[ELIMINADO]music.com/bcpzonasegura.viabcp.com/bcp/OperacionesEnLinea, con el siguiente aspecto.
Si se analiza el primer servidor vulnerado, se puede ver que además del sitio falso también existe un archivo que conduce a la descarga de un archivo dañino, en un tercer servidor vulnerado. En este caso se puede ver que la descarga del archivo ejecutable es bloqueado por el antivirus.De todos modos, al analizar este tercer servidor, se puede encontrar que el mismo es controlado por los delincuentes a través de Shell PHP y que además existen otros archivos dañinos alojados en el mismo como por ejemplo uno que hace mención a la empresa de telefonía Claro y otros scripts PHP utilizados para distintos fines.
En algunos de estos archivos se puede encontrar información de otros servidores utilizados para este engaño:
Cristian de la Redacción de Segu-Info
Hoy recibo un correo de "GrupoBBVA" donde informan que mi cuenta fue suspendida.
ResponderBorrarLo gracioso de todo esto es que no tengo cuenta en ningún banco y mucho menos en un banco de España, como detalla el correo.
Se los reenvié para que lo vean.
Saludos =)