Disección de un kit fraudulento. Wachovia phishing attack
En uno de nuestros posts más recientes hemos publicado una serie de enlaces a páginas de phishing contra diversas entidades. Hoy vamos a analizar una de ellas, un ataque que tiene como objetivo a los clientes del banco Wachovia.
Para ello, hemos obtenido el kit completo y hemos comenzado a analizar los ficheros contenidos en él. Básicamente son unos pocos ficheros PHP, un HTML, varias imágenes y tres hojas de estilos.
Si echamos un vistazo a uno de los ficheros php: BiMaR.php, vemos lo siguiente:
Si echamos un vistazo a uno de los ficheros php: BiMaR.php, vemos lo siguiente:
Hasta aquí todo normal, típica recogida de datos de los formularios mostrados y el envío a un par de direcciones de correo.
Pero si nos fijamos con detalle, veremos que la línea 4 es un tanto peculiar. La variable $messege está mal escrita y no se utiliza en el resto del script, en su lugar se utiliza la variable $message. Además, su valor es una cadena codificada en base64. Si la descodificamos obtenemos esto:
Pero si nos fijamos con detalle, veremos que la línea 4 es un tanto peculiar. La variable $messege está mal escrita y no se utiliza en el resto del script, en su lugar se utiliza la variable $message. Además, su valor es una cadena codificada en base64. Si la descodificamos obtenemos esto:
$send = "dopret2001@gmail.com.dopret2001@yahoo.com";
Otro par de direcciones de correo… extraño.
Pasamos a analizar otro de los ficheros: details.php, y nos encontramos que tiene otra porción de código llamativa:
Si descodificamos la cadena obtenemos otras dos direcciones de correo electrónico:
anpyth@aol.com,e.b1952@menara.ma
Bajo este escenario, nuestro primer pensamiento es que quizás nos encontramos ante una especie de backdoor, mediante la cual el creador del phishing pack roba los datos a sus propios clientes. Por si fuera poco, en dicho fichero hay partes del código un tanto extrañas: el primero no está muy bien formado y el segundo con la función eval, es muy sospechoso.
Para poder profundizar más en el análisis, procedemos a instalar el paquete en un servidor web y navegamos por la página fraudulenta, rellenando los campos para ver el comportamiento del pack.
Una vez que llegamos al último paso, y confirmamos los datos, la página realiza el esperado envío de la información privada mediante SMTP, con una salvedad: las direcciones de destino no son ninguna de las que habíamos localizado en los ficheros php.
Una vez que llegamos al último paso, y confirmamos los datos, la página realiza el esperado envío de la información privada mediante SMTP, con una salvedad: las direcciones de destino no son ninguna de las que habíamos localizado en los ficheros php.
Rápidamente hacemos una búsqueda de las direcciones en el directorio completo, incluyendo las imágenes, pero con resultado negativo. Evidentemente, de algún sitio tienen que salir todas esas direcciones, pero… ¿de dónde?
Listando el directorio que aloja las imágenes y las hojas de estilo podemos comprobar que el tamaño de uno de los ficheros CSS es mucho mayor que los demás, así que lo editamos. Todo parece normal, hasta que pasada la mitad del fichero encontramos un bloque ilegible, que incluso aparecen como caracteres chinos, que evidentemente tiene todas las características de ser el causante del comportamiento inesperado.
Listando el directorio que aloja las imágenes y las hojas de estilo podemos comprobar que el tamaño de uno de los ficheros CSS es mucho mayor que los demás, así que lo editamos. Todo parece normal, hasta que pasada la mitad del fichero encontramos un bloque ilegible, que incluso aparecen como caracteres chinos, que evidentemente tiene todas las características de ser el causante del comportamiento inesperado.
Nos terminamos de remangar y revisamos los ficheros PHP al completo y por fin obtenemos resultados. El fichero AuthService.php tiene varias funciones un tanto crípticas que van llamándose una a otra formando una cadena.
Así que ponemos un par de "echos" en sitios estratégicos y ¡tachán!, nuestro amigo aparece ante nuestros ojos:
Un código similar al del fichero BiMaR.php pero con 6 direcciones de correo diferentes, que es a donde realmente se envía la información robada.
- usa813@inbox.com
- usa813@easy.com
- usa813@hotmail.fr
- zoka_1845497@usa814.freezoka.com
- usa813@excite.co.uk
- usa813@gmx.com
Estamos así pues ante una maniobra de distracción de los phishers, que cual prestidigitadores, nos ponen ante los ojos lo que quieren que creamos, mientras que la operación real escapa a las miradas superficiales.
Un dato importante que se desprende del análisis contra el servidor es que dentro del mismo también se encuentran páginas que simulan ser de otras dos entidades bancarias, Lloyds TSB:
Un dato importante que se desprende del análisis contra el servidor es que dentro del mismo también se encuentran páginas que simulan ser de otras dos entidades bancarias, Lloyds TSB:
Y Bank of America, ambas con el mismo mecanismo de defensa en los CSS.
Como podemos apreciar, los mecanismos empleados para los ataques de phishing también se perfeccionan día a día, no solo en torno a sus estrategias de ataque sino que también sobre sus mecanismos de defensa, que como en este caso, que se ejecuta una maniobra de distracción interesante.
Información relacionada
Phishing database I
Phishing Kit In-the-Wild para clonación de sitios web, versión 2
Phishing Kit In-the-Wild para clonación de sitios web
Phishing y "cuentos" en navidadInformación relacionada
Phishing database I
Phishing Kit In-the-Wild para clonación de sitios web, versión 2
Phishing Kit In-the-Wild para clonación de sitios web
Phishing para American Express y consejos
Ernesto Martin
Crimeware Researcher en Malware Intelligence
4 comentarios:
Un analisis muy interesante.
Felicidades.
Buen estudio, desde luego que de momento están realizando "amagos" de ofuscación, pero en cuanto se pongan a usar mecanismos de seguridad más robustos (cifrado avanzado)... la vamos a tener (por lo que nos va a caer).
Un saludo y felicidades al blog!
Muchas gracias Gonzalo. Tu predicción no escapa demasiado de un futuro no muy lejano :)
Hola, ya son las 6:22 am en arg, no me da mucho la cabeza, pero en pocas palabras, como desencriptaron los caracteres esos que parecian chinos?
Saludos!
anonimok
Publicar un comentario