Campaña de Phishing diriga a clientes de un banco utiliza falso ReCaptcha de Google para esconder Malware

Investigadores detectaron una nueva campaña de phishing, esta vez enfocada en clientes de un banco polaco. Para hacer más creíble el engaño los atacantes utilizaron un falso ReCAPTCHA de Google en la página maliciosa de destino.  En específico, los correos electrónicos en cuestión contienen una confirmación falsa de una transacción reciente, junto con un enlace […]

Investigadores detectaron una nueva campaña de phishing, esta vez enfocada en clientes de un banco polaco. Para hacer más creíble el engaño los atacantes utilizaron un falso ReCAPTCHA de Google en la página maliciosa de destino. 

En específico, los correos electrónicos en cuestión contienen una confirmación falsa de una transacción reciente, junto con un enlace a un archivo .PHP malicioso.

Los mensajes enviados a las posibles víctimas les piden que «verifiquen» estas transacciones no existentes haciendo clic en el enlace.

Este método de ataque no es nada nuevo, pero la siguiente etapa es algo más inusual. Si una víctima no se da cuenta de que el mensaje es falso y hace clic en el enlace, no se envía a una réplica estándar y falsa del banco, sino que el archivo PHP sirve una página de error 404 falsa, con agentes de usuario específicamente definidos. En este caso, los atacantes sólo se limitaron a filtrar agentes de usuario relacionados al crawler de google:

User-agent filtering o filtrado de agente de usuario relacionado sólo a google

Si la petición pasa a través del filtrado de agente de usuario (o sea, si el agente de usuario no está relacionado a google), el código PHP carga un reCAPTCHA falso de google, usando elementos estáticos de HTML y JavaScript:

Google ReCAPTCHA falso

Si bien esta página replica bastante bien a los reCAPTCHA de google, dado que depende de elementos estáticos, las imágenes serán siempre las mismas y no funcionará en él el audio replay.

Luego, el PHP malicioso verifica nuevamente el user-agent y determina de acuerdo a esto, qué tipo de malware descargará en el dispositivo de la víctima.
Si éste es un Android, descargará un archivo .apk malicioso, que puede ser usado para, por ejemplo, interceptar 2FA (es por ejemplos como éste que 2FA a través de SMS debe ser reemplazado por otros métodos).

Si el código PHP no detecta un dispositivo Android, se descarga un archivo .zip con contenido malicioso:

Cada vez los ataques evolucionan de manera más creativa. Es por eso que debemos estar cada vez más vigilantes para no caer víctimas ante ellos. En este caso, los atacantes se valen del phishing como método de entrega del malware, y utilizan técnicas de suplantación y apelan al pánico y uso de carnada para las víctimas, que, al verse enfrentadas a la situación de verificar una transacción falsa, podrían caer en el engaño.