Ataque phishing a gran escala contra entidades españolas

 

El pasado viernes publicamos un boletín alertando sobre un ataque phishing a gran escala contra entidades bancarias españolas que además intentaba troyanizar el sistema. En el laboratorio de Hispasec, detectamos varias URL en un corto periodo de tiempo, con un comportamiento muy sospechoso. Ante el interés que ha despertado lanoticia, aclaramos algunos detalles.La pasada semana detectamos en Hispasec un kit de phishing que afectaba a 35 entidades españolas, todos en un mismo servidor. Lo importante en este caso era que aparecieron varios en pocos días y sobre todo, que además se estaba intentando infectar a quien lo visitase. A través de un JavaScript, la página intentaba ejecutar código y hacerse con el sistema. En algunos casos, lo único que intentaban era desestabilizar elnavegador realizando ataques de JavaScritp.Los phishings estaban alojados en páginas legítimas comprometidas, normalmente en algún directorio interno de la web. La estructura solía ser:

http://www.XXXXX.ZZ/XXXX/s/(banco)

Habiendo encontrado dominios de Rusia, Brasil y .ORG. Donde “banco”
representa el código de la entidad afectada. Hasta 35 por dirección.
Todas españolas. Las entidades a las que pretendía simular son:

Bancaja, Banca March, Bankinter, Bankoanet, BBK, BBVANet, Banco
Guipuzcoano, Caixa Catalunya, Caixanova, Caja España, CajaMadrid,
CajaMurcia, CajaSur, Caja Mediterraneo, Caja Canarias, Caja Castilla La
Mancha, Caja Navarra, Deutsche Bank, Caixa Geral, Banco Herrero,
IberCaja, ING Direct, Kutxa, Caixa d’Estalvis Laietana, Caixa Ontinyent,
OpenBank, Caja Rural, Banco Sabadell, Solbank, Caixa Tarragona, Unicaja,
Banco Urquijo, VitalNet.

A día de hoy, ninguna de las direcciones que detectamos la semana pasada
en el laboratorio de Hispasec siguen activas, aunque esto no indica que
no existan otras o que las anteriores no sean reactivadas en un futuro.
Se encontraban diferentes “sorpresas” según el banco visitado. El ataque
resultaba bastante enrevesado, tanto por su diversidad como por la
complejidad de cifrado de algunos códigos. Aun así el Hispasec ha
detectado en qué malware estaba basado y dónde se alojaba. Ocultamos
deliberadamente las direcciones que alojaban los troyanos porque todavía
siguen activas.

Cuando se visitaban los phishing y se conseguía ejecutar código (a
través de vulnerabilidades en el navegador, con lo que los sistemas
actualizados en principio podían sentirse más protegidos), se comunicaba
con un servidor para descargar el archivo ie_updates3r.exe. Este es un
“downloader” que se copia a %system32%/_svchost.exe y comienza a
descargar otro software, comportándose como servicio llamado “Microsoft
Inet Service”. La lista de troyanos que intenta descargar (sus nombres
reales, no así las direcciones) es:

http://11.22.33.44/abba.exe
http://11.22.33.44/eagle.exe
http://11.22.33.44/25319.exe
http://11.22.33.44/sp_lin1_v171_3.exe
http://11.22.33.44/install.exe
http://11.22.33.44//id3216.exe
http://11.22.33.44/01112.exe
http://11.22.33.44 2//krea.exe
http://11.22.33.44/ldig001.exe
http://11.22.33.44/fds1010.exe

En la web, cada uno muestra además un contador de descarga. Actualmente
llevan casi 300 cada uno.

abba.exe es una variante de Trojan.Pandex, mientras que el resto está
destinado a que el sistema se convierta en un enviador de basura (spam).

El ataque ha resultado una especie de laberinto, con funciones
JavaScript ofuscadas dentro de otras cifradas ocultas a su vez bajo
cadenas codificadas. Si bien este tipo de ataques se usan a menudo, lo
realmente llamativo es que se haya realizado el ataque tomando como base
páginas de phishing de bancos españoles. El ataque parecía provenir de
Rusia.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3326/comentar

Más Información:

una-al-dia (23/11/2007) Ataque phishing a gran escala contra entidades bancarias españolas que además intenta troyanizar el sistema
http://www.hispasec.com/unaaldia/3317/

Sergio de los Santos
gt(‘ssantos’)ssantos@hispasec.com

Publicado en Noticias

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: