El Laboratorio Antifraude de Hispasec, ha detectado una nueva
campaña de phishings que está afectando a diversas entidades europeas, entre
ellas algunas españolas como Banco Santander y que como particularidad está
utilizando una botnet de servidores JBoss comprometidos.
El término botnet casi siempre está unido a familias de
malware como pudieran ser Zeus, Spyeye o la última detectada para Android,
Gooligan. Sin embargo existen múltiples tipos de botnets para diferentes
causas: SPAM, denegaciones de servicio (como Mirai), o despliegue de campañas
phishings, como el que nos atañe.
Durante el proceso de detección y cierre que hemos
llevado a cabo, hemos podido comprobar que las entidades afectadas eran
Deutsche Bank (Alemania), BancaMarche y Posteitaliane (Italia) y al Banco
Santander en España en otros.
La campaña de phishing detectada es bastante sencilla en
su diseño: un html que carga un fondo previamente capturado del portal
principal de la entidad y un formulario que captura los datos y los envía al
atacante:
Pero donde gana en complejidad es en su despliegue, con
el uso de diferentes tipos de redirección, mediante acortadores de URLs para la
campaña de mail masivo y dominios de redirección y con el uso de sitios web
comprometidos. Todo ello en búsqueda de frenar los cierres y dar tiempo a
montar nuevos sitios comprometidos según van cayendo. También llegan a utilizar
técnicas de GeoIP para impedir la visita a aquellos usuarios que no sean
objetivo de la campaña, de esta forma sólo muestran el phishing adecuado a cada
país.
Una vez comprobados todos estos filtros se expone al
visitante el phishing final, que durante nuestros análisis hemos podido
comprobar que se encuentran albergados en servidores JBoss vulnerables
previamente comprometidos. Es aquí donde hemos podido detectar como novedad en
este tipo de casos de phishing, de la presencia de una botnet mediante IRC que
controlaba el despliegue de las campañas finales, según se realizaban los
mailings masivos a los usuarios.
Ejemplo de la última campaña desactivada es la IP
34.192.25.188, de la que se pueden comprobar los dominios fraudulentos
asociados que redireccionaban a la misma: https://virustotal.com/es/ip-address/34.192.25.188/information/
Por el momento la botnet se encuentra activa y está
compuesta por más de 30 servidores comprometidos. Por lo que no dudamos, y
según las fechas en las que nos encontramos, se activen nuevas campañas.
Hemos recogido en una entrada denuestro blog del
Laboratorio todo el análisis técnico e investigación realizada para el que
quiera profundizar en ello.
Por nuestra parte recomendamos como siempre no abrir
correos de los que no sepamos su procedencia y aplicar todas las medidas
oportunas y sentido común.
Más
información:
- una-al-dia
(02/12/2016) Malware para Android compromete más de un millón de cuentas
de Google http://unaaldia.hispasec.com/2016/12/malware-para-android-compromete-mas-de.html
- Blog Laboratorio
Hispasec: Análisis de una Botnet usada para Phishing http://laboratorio.blogs.hispasec.com/2016/12/analisis-de-una-botnet-usada-para.html