23 may. 2017

Variante con PDF del Phishing clásico

No es ninguna novedad que la ingeniería social sigue siendo una de los vectores de ataque más eficientes. Sin embargo, teniendo en cuenta que el phishing es una de las modalidades mas frecuentes, los ciberdelincuentes necesitan innovar sus técnicas permanentemente, sobre todo para poder saltarse los detectores de scam, spam y fake URL de los servicios de correo mas populares (Gmail, Outlook, Yahoo, etc) que cada día se vuelven mas efectivos en sus controles.

Hoy me he encontrado con un típico email de tipo phising de la empresa de logística DHL (digo típico para alguien que ya tiene ojo clínico para estas cosas) y que entró directamente a la bandeja de entrada (no siendo detectado por el Antispam de Gmail), pero esta vez no contenía una historia alarmista acerca de algún compromiso con mi cuenta, o que si no hacía tal o cual acción perdería acceso para siempre a mi cuenta, sino que tenía un breve texto y un adjunto, un PDF:
Sí, lo que Ud. están pensando es obviamente lo primero que pensé yo: es PDF con malware en su interior. Pero Gmail tampoco me alertaba de tal situación. No satisfecho con eso, decido subir el archivo a VirusTotal y me encuentro que efectivamente no se visualizaba ningún malware (detección 0/55).Tampoco me conformaba este resultado, de modo que decido abrir el PDF en un entorno controlado (una VM aislada) y allí observo que en realidad se trata de una captura de pantalla de un sitio web de DHL, con un enlace a un sitio de URL acortada:
Chequeo la URL con el website scanner deSUCURI, el cual (ahora sí) detecta como malicioso el sitio:
Ya con la confirmación en la mano, decido igualmente ver que tipo de ataque había tras de este PDF. Continuando en el ambiente controlado, accedo al sitio web que me sugiere el PDF, pensando que bajaría algún ejecutable que realizaría una infección del tipo ransomware (muy de moda en estos días), sin embargo me encontré con un típico phishing del tipo "credential harvester", o sea, el clásico formulario clonado para obtener usuario/contraseña del sitio objetivo. En la imagen se puede observar que se trata de un sitio .FR que nada tiene que ver con DHL.
Y a partir de aquí, la historia ya es conocida: URL claramente falsa, imágenes de mala calidad y la necesidad de loguearse para hacer el seguimiento de un envío. Al enviar los datos, casi instantáneamente me reenvía al sitio verdadero de DHL, no sin antes pasar por el archivo "open.php" que seguramente le envía al ciberdelincuente las credenciales recolectadas:

Redirección para evitar sospechas

Por curiosidad nada mas, analicé rápidamente el sitio (.FR) donde estaba montado este formulario accediendo al dominio raíz, y como generalmente ocurre en estos casos, se trataba de un sitio de un restaurant francés (con aspecto de no ser actualizado muy seguido) y que nada tiene que ver con DHL, sino que fue abusado a través de (seguramente) alguna vulnerabilidad.Continuando con mi curiosidad, decidí ver por donde pudo haber sido vulnerado este servidor, por lo cual la herramienta Whatweb (incluída en Kali Linux) arrojó luz inmediatamente:
Joomla! Recientemente se encontraron nuevas vulnerabilidades en Joomla, por lo cual le corro la tool JoomScan (también incluída en Kali Linux) y el resultado fue bastante obvio: 33 vulnerabilidades conocidas.
Es probable que por esa vía se haya ingresado al servidor para montar los archivos del engaño sin quedar comprometidos si lo hicieran en un servidor propio.

Como conclusión final, cabe destacar esta nueva modalidad de enviar un texto plano en el cuerpo del mail y un PDF sin malware, lo cual no le da motivos a los filtros antispam/antiscam de detectarlo y dándole una cuota de "veracidad" a la campaña.

¡Estén atentos amigos!

Ramiro Caire (@rcaire) para Segu-Info

8 comentarios:

  1. Muy buen Articulo, gracias por publicar con tanto detalle.

    ResponderEliminar
  2. Como siempre un buen aporte. Muy claro y precisó B-)

    ResponderEliminar
  3. Excelente artículo Ramiro. Y muy buena investigación de este caso novedoso de phishing. Es para tenerlo en cuenta.

    ResponderEliminar
  4. Buen día Ramiro. Llegó un correo con este enlace a varios equipos: http://spazioviveat.altervista.org/show_news.php?death=rf2arr71v8enr1
    Al ingresar la url en website scanner deSUCURI, indica que el sitio tiene malware. Al ingresar se recibe un mensaje: "You know have Assian Flu". Cada vez que da clic, cambia el mensaje. Virus total no lo reconoce como sitio peligroso. Que opina? Gracias

    ResponderEliminar
    Respuestas
    1. Cesar, ese sitio es spam, el msj cambia p/confundir a qiuen ingresa.

      Eliminar
  5. Excelente, muy buen articulo. Gracias por compartir el saber!

    ResponderEliminar
  6. Roberto González Pérez24/5/17 17:32

    Claro y conciso.me llegaron algunos mails de este tipo pero siempre pensé que era un PDF con virus y lo desechaba.no paran de buscar alternativas estos tipos

    ResponderEliminar
  7. Exelente Articulo e investigacion Ramiro! Saludos

    ResponderEliminar

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!