Rastreando a un phisher

Muchas veces les hemos mostrado las distintas metodologías utilizadas por un phisher para engañar a los usuarios, el porcentaje de efectividad de sus ataques y el potencial rédito que puede obtener sobre dicho porcentaje. Pero me imagino que muchos de ustedes se preguntarán qué es lo que hacemos nosotros luego con toda esta información recopilada.

En este post les voy a mostrar un análisis realizado la semana pasada a una de estas amenazas. Luego les explicaré las alternativas de las que disponemos para tomar acciones sobre dicho usuario malicioso.

Todo comienza como siempre con un mail proveniente supuestamente de nuestro banco indicando que debemos ejecutar el archivo adjunto:

phishingUna vez ejecutada la muestra abre una ventana la cual nos “guía” por el proceso de literalmente robarnos nuestros datos bancarios, desde el documento de identidad, hasta la tarjeta de coordenadas. Nada que no hayamos observado antes. Al mirar la muestra por dentro notamos de inmediato de que la misma está empaquetada con UPX, por lo que procedemos a desempaquetarla y luego la volvemos a analizar. Luego de unos breves minutos de análisis comenzamos a encontrar información interesante:

Código phishingAquí podemos apreciar dos cuentas distintas de correo a dónde el phisher envía un informe del equipo afectado y la información robada respectivamente. Adicionalmente cada vez que va a realizar el envío de cada mail se comunica con un mismo sitio pero llamando a distintos archivos PHP los cuales utiliza para enviar el correo. Este es el primer error cometido por el phisher, ya que podría haber utilizado esos mismos archivos para indicar a que cuenta de correo se deben enviar los datos, en vez de prácticamente “publicar” los mismos en cada copia del malware.

Podemos verificar que es a estas cuentas de correo a las cuales se envía la información robada simplemente analizando el trafico al momento de ejecución de la amenaza:

Captura de tráfico

Allí podemos observar como todos los datos falsos que ingresamos al realizar la prueba son enviados a la cuenta de correo antes mencionada.

Entonces…¿Qué podemos hacer con esta información? Existe la remota posibilidad de que el host o servidor remoto al cual se conecta el malware sea propiedad del phisher, pero esto es rápidamente descartado luego de analizarlo y determinar que se trata de un sitio vulnerado. Pero aún disponemos de sus cuentas de correo, las cuales, con un poco de ingeniería solcial y algo de suerte nos podrán dar la dirección IP del atacante.

Armamos un mail en formato HTML al cuál le agregamos un link a una imagen alojada en uno de nuestros servidores web, y otro que apunta a una imagen no existente dentro del sitio web de la Policía Federal de Brasil tal como se observa a continuación:

Mail al phisher

De esta forma, cuando el phisher abra el mail y haga clic en la opción de Gmail “Mostrar las imágenes a continuación“, se creara una entrada en nuestro log de acceso del servidor web con su IP real y no la perteneciente a dicho servicio gratuito de correo. La imagen que no existe dentro del sitio de la Policía Federal Brasilera es para poder contactarnos con ellos e indicarles, a su vez, que verifiquen los logs de error de su servidor web y corroboren la dirección IP por nosotros obtenida, y así iniciar las acciones legales correspondientes para apresar al usuario malicioso.

Como pueden ver, existen varias metodologías que se pueden emplear al momento de intentar rastrear a los responsables de estos ataques, solo hay que saber usar la imaginación y los recursos de los que se dispone.

Joaquín Rodríguez Varela
Malware Lab Engineer

Autor Joaquín Rodríguez Varela, ESET

  • lost-perdidos

    Hola. Tengo una pregunta, ¿como actuáis al encontrar los datos robados? ¿Avisáis a todos los afectados por correo electrónico? Un saludo y gracias.

    • http://www.eset-la.com Joaquin Rodriguez

      En esos casos nos comunicamos con la entidad financiera a la cual pertenecen los usuarios afectados. Les damos aviso de lo sucedido para que luego ellos se encarguen de comunicarse con los usuarios afectados y puedan solventar el problema lo antes posible.

      Saludos,

      Joaquín

  • http://adario.antigualug.org adario

    Saludos

    Muy buen post, está bastante completo y muy detallado. Se aprecia el esfuerzo.

    • http://www.eset-la.com Joaquin Rodriguez

      Muchas gracias Adario! Nos alegra saber que te intereso el post.

      Saludos,

      Joaquín

  • delph

    Tu piensas que el mail de contacto de la d.p.f lo mira un perito forense informatico? tampoco exageres joaquin eso nunca va a ocurrir, la unica manera de detener al que envio el malware es si una empresa* de seguridad informatica esta contratada por el banco y autorizada para actuar y observar el email donde llegan la info robada, ahi se contactan con gmail y de ahi en mas si se puede actuar pero no le mientan a la gente diciendo que se puede hacer justicia por mano propia porque no es possible nadie se va a preocupar de un simple troyano bancario si no esta contratado para eso. Las empresas antivirus no se preocupan por detener a la persona fisica que creo el troyano ni al spamer ni los bancos se preocupan por eso prefieren pagar a la victima y olvidarse de ese caso.

    Igualmente muy bueno el blog y los analisis siempre los sigo

    los saluda un viejo alumno de la escuela brasilera :)

    *ejemplo (s21sec con bbva)

    • http://www.eset-la.com Joaquin Rodriguez

      Delph,

      Como bien indicamos en el post, nosotros nos comunicamos con la DPF y les comentamos lo sucedido y las acciones por nosotros tomadas. Contamos con oficinas en Brasil encargadas de realizar el contacto formal. Adicionalmente la DPF cuenta con un departamento denominado SEPINF (SERVIÇO DE PERÍCIAS EM INFORMÁTICA), como su nombre lo indica, brindan un servicio de pericias en informática, por lo que cuentan con gente capacitada para realizar estas tareas. En el post explicamos cómo podemos obtener, luego de algunas técnicas de fingerprinting, posible información sensible del phisher, como es su dirección IP, por medio de un simple correo. Para obtener esta información de Gmail se debe disponer de una orden judicial ya que viola el acuerdo de privacidad por ellos estipulado. En todo caso será luego el DPF quién se encargue de realizar estas acciones para así combatir un mal muy recurrente en Brasil. En ningún momento de nuestra publicación sugerimos realizar justicia con mano propia, solo dimos un poco de luz a las investigaciones que realizamos desde el Laboratorio de Análisis e Investigación de ESET Latinoamérica. Estos temas son de alta relevancia para ESET ya que consideramos que la educación es un factor primordial para poder evitar caer víctimas de estos engaños, como siempre es explicado en éste nuestro blog.

      Saludos,

      Joaquín

  • Pingback: Phishing bancario con aplicaciones falsas para Windows | Openanimo

  • Nahuel

    Hola, buen informe.
    Una consulta: ¿De que manera desempaquetaron UPX?
    Gracias por la información!

    • http://www.eset-la.com Joaquin Rodriguez

      Hola Nahuel,

      El packer UPX es gratuito y de libre descarga. El mismo posee un parámetro que permite desempacar todos aquellos archivos que hayan sido comprimidos por este. El comando es el siguiente:

      upx.exe -d archivo.exe

      Saludos,

      Joaquín

  • Jaimito

    Oigan una pregunta ¿Porque censuran las paginas web? solo por curiosidad.

    • http://www.eset-la.com Joaquin Rodriguez

      Hola Jaimito,

      Esto lo hacemos para proteger al lector, ya que de ingresar a un sitio infectado, y de no contar con un sistema seguro, es muy probable que el mismo se infecte. No queremos tomar el riesgo de dejar visibles dichos sitios ya que podríamos provocar justamente lo que con tanto ahínco tratamos de prevenir, que el usuario se infecte. En el caso de la última imagen, al tratarse de la ubicación de la imagen especialmente creada para el seguimiento del phisher, buscamos evitar accesos por usuarios no vinculados al análisis.

      Saludos,

      Joaquín

  • Raúl

    Excelente nota Joaquín. Aprendí algo más otra vez.

    Es loable la tarea que realizan. Felicitaciones a todos por la labor. Y a ESET por sostener a lo largo del tiempo su Laboratorio en latinoamérica, publicando este tipo de informes sobre eventos de seguridad locales.

    Pienso que no haber ocultado el vínculo de la falsa imagen en DPF (si es el vínculo real que utilizaron) podría ser abusado por los atacantes para generar muchos errores desde distintas IP y así ocultar la verdadera dirección ip del destinatario del correo. También es cierto que la diferencia de tiempo entre el correo y la publicación de esta nota atenta contra esa posible maniobra. Otra posibilidad que podría inutilizar este truco de la falsa imagen es si el atacante se conecta siempre mediante proxys o red tor para ocultar en todo momento su actividad. No se que tan disciplinados serán estos delincuentes, muchos son adolecentes, y se podría dudar de la posibilidad de tal disciplina.

    Saludos.

    • http://www.eset-la.com Joaquin Rodriguez

      Estimado Raúl,

      Me alegra mucho que te haya sido de utilidad el post. Son comentarios como los tuyos los que nos impulsan a seguir empeñándonos en nuestro trabajo.

      Es muy cierto lo que indicas, es posible que los atacantes traten de “ensuciar” el log del sitio del DPF generando múltiples errores, pero esta investigación ya había concluido previo a la publicación del post. Es correcto también lo que señalas con respecto a la utilización de proxys por parte de los atacantes, pero basándonos en el hecho de que los mismos fueron lo suficientemente descuidados como para dejar sus cuentas de correo visibles, es poco probable que sean tan disciplinados como para ocultar su IP al ingresar a su cuenta de Gmail.

      Muchas gracias por tu comentario!

      Saludos,

      Joaquín

Síganos

Suscríbete a nuestro boletín

Recibe las últimas noticias directamente en tu bandeja de entrada

10 artículos relacionados a:
Hot Topic


Archivos

Anterior
Copyright © 2014 ESET, Todos Los Derechos Reservados.