domingo, 22 de enero de 2017

Nuevas técnicas de Phishing usando documentos borrosos piden credenciales para visualizarlos

Las técnicas de Phishing evolucionan y mucho a lo largo del tiempo. Una nueva modalidad que está resultando muy efectiva es mostrar un documento que una vez abierto se ve borroso y una ventana - imagen donde debes introducir tus credenciales para poder leer o desbloquear el documento. Y en realidad lo único que haces es enviar tu nombre de usuario y contraseña al atacante...







Inteligente Truco de Phishing
A pesar de la creciente complejidad de los ataques cibernéticos y del código malicioso, los ataques de phishing y phishing siguen siendo el punto de entrada inicial en muchas de las brechas de seguridad actuales.

En la mayoría de los ataques de phishing, los delincuentes aprovechan un tema común, pidiendo a los usuarios que actualicen la información de su perfil en varios perfiles, pero redirigir a los usuarios a páginas alojadas en dominios similares.

Como los usuarios se han acostumbrado a este truco básico de phishing en los últimos años, los atacantes encontraron otras formas creativas de phishing para las credenciales de inicio de sesión.

Un truco, visto por primera vez en junio de 2016, se observó de nuevo el mes pasado. Este inteligente ataque de phishing se basa en decir a los usuarios que recibieron un archivo importante o seguro, y necesitan visitar una página web para verla.




El verdadero truco tiene lugar en la página del ladrón, que muestra un documento borroso en el fondo. Para ver el documento, los usuarios deben introducir sus credenciales.




El documento borroso visto en el fondo de la página actúa como una promesa para lo que los usuarios van a recibir si se autentican. De hecho, estos no son más que simples páginas web que muestran una imagen de un documento borroso, y nada más. Lo único que funciona en la página es el formulario de inicio de sesión que registrará las credenciales de inicio de sesión que ingrese en su interior.



Al igual que los ataques de 2016, los delincuentes no especifican qué credenciales de inicio de sesión los usuarios tienen que rellenar, y dejan que el usuario ingrese lo que cree que debe haber ingresado. Un usuario descuidado podría introducir cualquier cosa, desde sus detalles de Intranet hasta los inicios de sesión de Google.

Adobe PDF nos alerta de los datos que estamos enviando a otra página:




En este momento, basados en los incidentes de 2016 y 2017, estos ataques son bastante fáciles de detectar. Si los ladrones detrás de estas páginas de phishing resultaran menos descuidados y pasaran más tiempo en detalles de refinamiento, este tipo de ataques podrían ser bastante efectivos y más difíciles de detectar por lo que realmente son.

A continuación se presentan algunas capturas de pantalla de la campaña de junio de 2016.

Algunos ejemplos:

Confirma tu identidad, etc







Fuente:
https://www.bleepingcomputer.com/news/security/clever-phishing-trick-you-need-to-be-aware-of/



Montón de correos electrónicos de phishing que tratan de robar las credenciales de las víctimas. Bueno, nada nuevo pero, esta vez, el escenario es muy diferente: El correo electrónico malicioso contiene un cuerpo HTML con bonitos logotipos y textos que pretenden ser de una empresa de renombre o proveedor de servicios.


Hay un enlace que abre una página con un documento falso pero borrosa con una página emergente de inicio de sesión en la parte superior de la misma. La víctima es tentada a ingresar sus credenciales para leer el documento. Encontré muestras para la mayoría de los documentos de oficina conocidos.

El hecho extraño es que no está claro qué credenciales están dirigidas: Google, Microsoft o cuentas corporativas? El éxito de un phishing eficiente es tomar a la víctima de la mano y "obligar" a él / ella a revelar lo que estamos esperando. Por lo tanto, nada de fantasía detrás de este tipo de phishing, pero siempre es interesante realizar más investigaciones y, para uno de ellos, era una buena idea. Todo el mundo comete errores y atacantes también!

La página de phishing estaba alojada en un sitio web brasileño. Normalmente, dicho material está alojado en un CMS comprometido como, sin mencionar nombres, sino Wordpress, Joomla o Drupal.

El servidor Apache tenía habilitada la función 'indexación de directorios' haciendo que todos los archivos estuvieran disponibles públicamente y, entre los archivos .php y .js, un archivo zip que contenía el "paquete" utilizado por los atacantes para construir la campaña de phishing. Era demasiado tentador verlo. El efecto "borroso" se implementó de una manera muy sencilla: el documento falso es una captura de pantalla de baja resolución


function emailCheck(emailStr) {
...
var checkTLD=1;
var knownDomsPat=/^(com|net|org|edu|int|mil|gov|arpa|biz|aero|name|coop|info|pro|museum|ws)$/;
...
if (checkTLD && domArr[domArr.length-1].length!=2 &&
domArr[domArr.length-1].search(knownDomsPat)==-1) {
alert(errmsg);
return false;
}
...
errmsg="Please enter a valid email address.";Los datos HTTP POST y la información adicional se envían a los malos a través de un script 'mailer.php'.

Los datos enviados son:


Detalles de GeoIP basados en $ REMOTE_ADDR
Agente de usuario
FQDN / IP
E-mail y Contraseña de Email
A continuación, se realiza una redirección HTTP a una segunda página: "phone.html" que imita una página de autenticación de Google y solicita el número de teléfono del usuario. Aquí otra vez, los datos del POST se procesan vía "phone.php" que envía un segundo email con el número de teléfono de la víctima. Los correos electrónicos se envían a dos direcciones (no divulgadas aquí):

Una cuenta de @ gmail.com
Una cuenta de @ inbox.ru

Para concluir en un hallazgo divertido: hay un script PHP específico 'imp.php' que crea una copia del material en un nuevo directorio. El nombre del directorio se basa en una combinación de un número aleatorio convertido en Base64 y hash. Al llamar a este script de forma automatizada, es posible llenar el sistema de archivos del servidor web con miles de nuevos directorios.


Un correo electrónico de un dominio de la escuela que pretendía ser VetMeds enviar un PDF "cifrado" que requiere un nombre de usuario y contraseña para iniciar sesión. El tema del correo electrónico fue "Documento de evaluación". El propio PDF fue creado con Microsoft Word e incluyó un enlace que sugirió que era un documento bloqueado y que tenía que hacer clic en un enlace para desbloquearlo

Y un cuadro de inicio de sesión que acepta felizmente. A continuación se presentan algunas capturas de pantalla, pero algunas notas. Versiones actualizadas de Acrobat deben preguntar antes de ir a sitios web malos. Lo que me pareció interesante fue que el atractivo era una evaluación de VetMeds, pero el documento subyacente en el sitio web ruso es para una transacción SWIFT, por lo que algunos mensajes de mezcla allí. Algunos consejos, tenga cuidado con los correos electrónicos de los dominios que no coinciden con el contenido, tenga en cuenta que los documentos PDF cifrados no están bloqueados de esta manera (y nunca le preguntará por su contraseña de correo electrónico real de todos modos), y buscar otras inconsistencias que dar estos lejos Como estafas. Asegúrese de que los usuarios son conscientes de los pequeños letreros a continuación para que puedan detenerse antes de convertirse en víctimas.

Fuentes:
https://isc.sans.edu/diary/Phishing+Campaign+with+Blurred+Images/21207
https://isc.sans.edu/diary/Mixed+Messages+:+Novel+Phishing+Attempts+Trying+to+Steal+Your+E-mail+Password+Goes+Wrong/21881

No hay comentarios:

Publicar un comentario

Disqus Shortname

Comments system