Los #malosmalotes no descansan

Los #malosmalotes no descansan

Tiempo de lectura estimado: 7 minutos


Esta conferencia magistral pertenece al Módulo 6 “Agentes de la amenaza” de C1b3rWall Academy 2021/2022. El objetivo de la misma es ilustrar algunas de las campañas de phishing de los últimos años.

Análisis de phishing

El phishing es el principal vector de entrada, ya que los humanos no nos podemos parchear. Hay que pensar que están dentro y estar siempre en guardia.

Si vamos a analizar URLs de phishing es importante saber qué estamos haciendo. Es recomendable hacerlo en máquinas virtuales (u ordenador viejo), entornos protegido, nunca utilizar nuestro proveedor de servicio como salida, etc. La mejor manera de ocultarnos es usar la red TOR y nunca está de más una VPN.

La imagen de la izquierda es el programa BurpSuite, que utiliza la red TOR. BurpSuite es un proxy escrito en Java, no es perfecto, pero puede interceptar comunicaciones, modificarlas y hacer ataques. Al arrancarlo, se abre un puerto en la máquina local (8080) y le decimos que todas las comunicaciones vayan a ese puerto. La imagen de la derecha es la configuración de Firefox que utiliza la red TOR.

Multanopagada y saludcastillayleons

Fueron algunas de las URLs analizadas, (Multanopagada) recibida el 14 de marzo del 2021. Lo preocupante es que eran dominios españoles, y para registrar un dominio en España tienes que dar tu NIF. El sitio de donde te descargabas el malware también era español. Se comunicó a los organismos correspondientes.

A 5 de abril seguían los dominios en línea. Los atacantes no eran muy cuidadosos ya que no camuflaban ni la URL. Utilizaban máquinas, o compradas (VPS) o de Azure (gratuitas). La URL venía codificada en base 64, en la que suelen incluir tu dirección de correo. Si queremos acceder a ella, la decodificamos, vemos la información, la modificamos y la volvemos a codificar. Nunca lo hagas libremente ya que van nuestros datos.

Después de dos meses cambian sus dominios a ”eu” y la búsqueda se centra en la máquina que descarga el malware. Se encuentra un fichero que muestra quién ha hecho click y quien se ha descargado el malware. También aparece fecha, hora, desde qué dispositivo nos hemos conectado, la IP y la geolocalización. La página estaba forzada a funcionar desde España.

A partir de aquí, se analizaron todos los datos que iban llegando, con un parón en verano, volvieron en septiembre. Esta vez fue una campaña para México y España.

Paypal

Otra campaña fue una copia muy buena de Paypal en la que nos decían que había un problema con nuestra cuenta y nos pedían tarjeta de crédito, dirección, teléfono y hasta foto del DNI. Estos datos que recogen se utilizan para futuras campañas. En esta, afortunadamente el FBI lo estaba investigando.

FarmaUtils

Distribuía ficheros de malware en busca de datos vulnerables, como nuestro historial médico o número de la Seguridad Social. El dominio estaba registrado en sedoparking. Esto significa que los atacantes muestran interés en algunos dominios que van cogiendo buena fama y reputación, y si alguna vez quedan libres, al haber mostrado interés, sedoparking se lo notifica. Adquieren el dominio y lo utilizan para otros fines. 

Cuenta de GitHub

En ella había un fichero de ransomware. En Workflows se puede lanzar una máquina virtual gratis durante un tiempo para probar el código. Así, te descargabas Ngrok, un programa que te permite hacer túnel de conexiones, y te abrían un puerto en la máquina de GitHub. Ngrok te adjudica una dirección conectándote a GitHub y ocultando la IP de origen.

Conclusiones

  • Inversión y esfuerzo mínimos.
  • Son difíciles de perseguir, incluso intercambian campañas entre ellos.
  • Siempre habrá este tipo de actos pero con colaboración y esfuerzo se lo podemos complicar.

¿Todavía no formas parte de C1b3rWall Academy? El contenido es gratuito, únete a otras 30.000 personas desde este enlace.

                   

Si te interesa este tema, puedes consultar la información y cursar el Máster en Ciberseguridad o ver la oferta de másteres desde aquí.


Ponente: Nuria Prieto

Analista de seguridad en el CERT de la Universidad Carlos III de Madrid en la que lleva más de 31 años.

¿Cuál es tu reacción?

like

dislike

love

funny

angry

sad

wow

Acción formativa gratuita en ciberseguridad. Web: https://c1b3rwallacademy.usal.es/