Durante la semana hemos recibido varias notificaciones de spam/phishing. Especificamente, se trata del típico correo con un documento adjunto el cual contiene un virus o malware, pero con la diferencia de que es un poco más sofisticado. Recibimos un correo que en el subject dice “FACTURA NOVIEMBRE” y en el cuerpo del mensaje el siguiente […]
Durante la semana hemos recibido varias notificaciones de spam/phishing. Especificamente, se trata del típico correo con un documento adjunto el cual contiene un virus o malware, pero con la diferencia de que es un poco más sofisticado.
Recibimos un correo que en el subject dice “FACTURA NOVIEMBRE” y en el cuerpo del mensaje el siguiente texto:
Hola,
Aquí está un PDF cifrado adjunto, siga las instrucciones en el pdf para descargar
Saludos
Además, el correo incluye un adjunto llamado “googledrive.pdf” el cual no contiene ningun tipo de contenido aparentemente malicioso como un malware o algún código que explote alguna vulnerabilidad de los visores de archivos PDF.
En el contenido del PDF solo aparece un texto, una imagen y un link hacia un sitio alojado en https://announcer-dog-80064.netlify.com/.
La metadata del archivo no entrega mayor información
Analizamos el archivo utilizando VirusTotal y a la fecha (20161108) sólo el motor de ESET-NOD32 lo detecta como posible Phishing, catalogandolo como PDF/Phishing.Agent.AJI.
Pueden ver el reporte de VirusTotal en este link.
El contenido del archivo tiene un link que nos lleva a https://announcer-dog-80064.netlify.com/, al ingresar a esta URL somos redireccionados a una URL bien particular:
data:text/html;base64,PGh0bWw+PGhlYWQ+PHRpdGxlPkxvZ2luPC90aXRsZT4KPG1ldGEgaHR0cC1lcXVpdj0iY29udGVudC10eXBlIiBjb250ZW50PSJ0ZXh0L2h0bWw7IGNoYXJzZXQ9VVRGLTgiPgo8bWV0YSBodHRwLWVxdWl2PSJjb250ZW50LXR5cGUiIGNvbnRlbnQ9InRleHQvaHRtbDsgY2hhcnNldD1VVEYtOCI+CjxtZXRhIG5hbWU9InJvYm90cyIgY29udGVudD0ibm9pbmRleCI+CjxtZXRhIG5hbWU9Imdvb2dsZWJvdCIgY29udGVudD0ibm9pbmRleCI+CjxtZXRhIG5hbWU9Imdvb2dsZWJvdC1uZXdzIiBjb250ZW50PSJub2luZGV4Ij4KCgo8L2hlYWQ+PGJvZHkgc3R5bGU9Im1hcmdpbjowcHg7cGFkZGluZzowcHg7b3ZlcmZsb3c6aGlkZGVuIj4KICAgIDxpZnJhbWUgc3JjPSJkYXRhOnRleHQvaHRtbDtjaGFyc2V0PXV0Zi04O2Jhc2U2NCxQRzFsZEdFZ2FIUjBjQzFsY1hWcGRqMGljbVZtY21WemFDSWdZMjl1ZEdWdWREMGlNRHRvZEhSd09pOHZjM1Z3Y0c5eWRHMXBaR1JzY3k1amIyMHZZMjl1ZEhKdmJDOXBibVJsZUM1d2FIQWlQZz09IiBmcmFtZWJvcmRlcj0iMCIgc3R5bGU9Im92ZXJmbG93OmhpZGRlbjtvdmVyZmxvdy14OmhpZGRlbjtvdmVyZmxvdy15OmhpZGRlbjtoZWlnaHQ6MTAwJTt3aWR0aDoxMDAlO3Bvc2l0aW9uOmFic29sdXRlO3RvcDowcHg7bGVmdDowcHg7cmlnaHQ6MHB4O2JvdHRvbTowcHgiIGhlaWdodD0iMTAwJSIgd2lkdGg9IjEwMCUiPjwvaWZyYW1lPgoKCgo8L2JvZHk+PC9odG1sPg==
Al decodificarlo, vemos el siguiente HTML:
Login
Como se puede ver, el HTML contiene un IFRAME el cual tiene como fuente otro código en base64, al decodificarlo obtenemos:
Es resumen, al abrir el link que está dentro del archivo PDF seremos redireccionados a http://supportmiddls.com/control/index.php.
En este sitio se encuentra el phishing que estabamos buscando. Un sitio fraudulento que aparenta ser de Google y tener compatibilidad con Yahoo!, Outlook, etc.
Intentamos iniciar sesión (obviamente con credenciales falsas) y el sitio asumió que eran correctas y nos mostró una página que intenta hacernos creer de que las credenciales son válidas y que debemos verificar que somos nosotros ingresando un número de teléfono y un correo alternativo.
Como pueden ver, se trata de un ataque de phishing distintos a los típicos que adjuntaban un PDF malicioso. Se recomienda agregar este tipo de correos al filtro de anti-spam y proteger el acceso a las URLs mencionadas en el artículo.
Otro año más del Cybermonday y el panorama respecto a la seguridad no ha cambiado mucho. El equipo de investigación de NIVEL4 tomó una muestra de los principales comercios adheridos al Cybermonday 2016, obtenidos directamente desde http://cybermonday.cl y los sometió a un análisis de seguridad desde el punto de vista de la implementación de HTTPS.
El jueves 17 de noviembre se realizará un meetup para conversar y exponer temas de interes relacionado a la protección de los datos clínicos. Los datos clínicos son la clave para la innovación y también para la manipulación del sistema de salud chileno, entonces, ¿Cómo se está protegiendo?