Investigaciones

Alerta de Phishing: Análisis de un nuevo ataque de phishing detectado

noviembre 8, 2016
Durante la semana hemos recibido varias notificaciones de spam/phishing. Especificamente, se trata del típico correo con un documento adjunto el cual contiene un virus o malware, pero con la diferencia de que es un poco más sofisticado. Recibimos un correo que en el subject dice “FACTURA NOVIEMBRE” y en el cuerpo del mensaje el siguiente […]

Durante la semana hemos recibido varias notificaciones de spam/phishing. Especificamente, se trata del típico correo con un documento adjunto el cual contiene un virus o malware, pero con la diferencia de que es un poco más sofisticado.

Recibimos un correo que en el subject dice “FACTURA NOVIEMBRE” y en el cuerpo del mensaje el siguiente texto:

Hola,

Aquí está un PDF cifrado adjunto, siga las instrucciones en el pdf para descargar

Saludos

 

Además, el correo incluye un adjunto llamado “googledrive.pdf” el cual no contiene ningun tipo de contenido aparentemente malicioso como un malware o algún código que explote alguna vulnerabilidad de los visores de archivos PDF.

En el contenido del PDF solo aparece un texto, una imagen y un link hacia un sitio alojado en https://announcer-dog-80064.netlify.com/.

pdfmal

La metadata del archivo no entrega mayor información

metapdfmal

Analizamos el archivo utilizando VirusTotal y a la fecha (20161108) sólo el motor de ESET-NOD32 lo detecta como posible Phishing, catalogandolo como PDF/Phishing.Agent.AJI.
Pueden ver el reporte de VirusTotal en este link.

Análisis de las URLs utilizadas

El contenido del archivo tiene un link que nos lleva a https://announcer-dog-80064.netlify.com/, al ingresar a esta URL somos redireccionados a una URL bien particular:

data:text/html;base64,PGh0bWw+PGhlYWQ+PHRpdGxlPkxvZ2luPC90aXRsZT4KPG1ldGEgaHR0cC1lcXVpdj0iY29udGVudC10eXBlIiBjb250ZW50PSJ0ZXh0L2h0bWw7IGNoYXJzZXQ9VVRGLTgiPgo8bWV0YSBodHRwLWVxdWl2PSJjb250ZW50LXR5cGUiIGNvbnRlbnQ9InRleHQvaHRtbDsgY2hhcnNldD1VVEYtOCI+CjxtZXRhIG5hbWU9InJvYm90cyIgY29udGVudD0ibm9pbmRleCI+CjxtZXRhIG5hbWU9Imdvb2dsZWJvdCIgY29udGVudD0ibm9pbmRleCI+CjxtZXRhIG5hbWU9Imdvb2dsZWJvdC1uZXdzIiBjb250ZW50PSJub2luZGV4Ij4KCgo8L2hlYWQ+PGJvZHkgc3R5bGU9Im1hcmdpbjowcHg7cGFkZGluZzowcHg7b3ZlcmZsb3c6aGlkZGVuIj4KICAgIDxpZnJhbWUgc3JjPSJkYXRhOnRleHQvaHRtbDtjaGFyc2V0PXV0Zi04O2Jhc2U2NCxQRzFsZEdFZ2FIUjBjQzFsY1hWcGRqMGljbVZtY21WemFDSWdZMjl1ZEdWdWREMGlNRHRvZEhSd09pOHZjM1Z3Y0c5eWRHMXBaR1JzY3k1amIyMHZZMjl1ZEhKdmJDOXBibVJsZUM1d2FIQWlQZz09IiBmcmFtZWJvcmRlcj0iMCIgc3R5bGU9Im92ZXJmbG93OmhpZGRlbjtvdmVyZmxvdy14OmhpZGRlbjtvdmVyZmxvdy15OmhpZGRlbjtoZWlnaHQ6MTAwJTt3aWR0aDoxMDAlO3Bvc2l0aW9uOmFic29sdXRlO3RvcDowcHg7bGVmdDowcHg7cmlnaHQ6MHB4O2JvdHRvbTowcHgiIGhlaWdodD0iMTAwJSIgd2lkdGg9IjEwMCUiPjwvaWZyYW1lPgoKCgo8L2JvZHk+PC9odG1sPg==

Al decodificarlo, vemos el siguiente HTML:

Login








    

Como se puede ver, el HTML contiene un IFRAME el cual tiene como fuente otro código en base64, al decodificarlo obtenemos:


Es resumen, al abrir el link que está dentro del archivo PDF seremos redireccionados a http://supportmiddls.com/control/index.php.

¿Qué hay en este sitio?

phimail

En este sitio se encuentra el phishing que estabamos buscando. Un sitio fraudulento que aparenta ser de Google y tener compatibilidad con Yahoo!, Outlook, etc.

Intentamos iniciar sesión (obviamente con credenciales falsas) y el sitio asumió que eran correctas y nos mostró una página que intenta hacernos creer de que las credenciales son válidas y que debemos verificar que somos nosotros ingresando un número de teléfono y un correo alternativo.

phimail3

Como pueden ver, se trata de un ataque de phishing distintos a los típicos que adjuntaban un PDF malicioso. Se recomienda agregar este tipo de correos al filtro de anti-spam y proteger el acceso a las URLs mencionadas en el artículo.

malwarephishingseguridadspamvirus

Comparte este Artículo

Artículos relacionados