Sitio phishing del portal gusanito.com

Un usuario notificó al UNAM-CERT sobre un correo electrónico que contenía un archivo adjunto supuestamente malicioso y también una dirección URL en el cuerpo del mensaje que redireccionaba a un portal malicioso que se utilizaba para suplantar al tan popular sitio de postales y tarjetas... gusanito.com . Este tipo de sitios es conocido como phishing y su función es sacar provecho de los usuarios haciéndoles creer que navegan en un sitio legítimo.

 

 
El archivo malicioso se propaga con el nombre "ver_postal_amistad.exe" adjunto en los correos electrónicos en  formato ".zip".
 
Cuando se selecciona la liga que supuestamente llevaría al usuario a ver postales y tarjetas, era redirigido a un sitio malicioso que se hace pasar por el conocido servicio de postales gusanito.com. En cuanto el portal se muestra en el navegador, automáticamente se intenta descargar el malware alojado en el sitio.
 

 

El sitio phishing al que el usuario es redirigido solo tiene la página principal activa, si se intenta consultar alguna otra opción seleccionando alguna pestaña de su menú de opciones, se presenta el error 404 de página no encontrada.

 

Al ejecutar la muestra en nuestro laboratorio, se levantó el proceso que lleva el mismo nombre que el archivo ".exe".

 

También se dispara otro proceso con el nombre "76393F7D8F9.exe". Después de unos segundos, ambos procesos terminan su ejecución y el archivo malicioso se borra automáticamente de la ubicación donde fue ejecutado, con el fin de ocultar su rastro, en nuestro caso se ejecutó en la ruta:

C:\Documents and Settings\Usuario\Escritorio\ver_postal_amistad.exe.
 

 

La actividad maliciosa que realiza la muestra de malware en el Registro de Windows, se enfoca principalmente en cambiar la configuración de seguridad del navegador Internet Explorer desactivando su filtro Anti-Phishing, el cual ayuda a detectar los sitios Phising cuando un usuario los visita. También desactiva la opción del borrado del historial de navegación cuando se cierra el navegador, conservando los datos introducidos en formularios y las contraseñas. 

La opción PhishingFilters en el navegador de Internet Explorer utiliza tres métodos para proteger a los usuarios de caer en una estafa. En primer lugar compara las direcciones de los sitio web visitados con la lista que Microsoft tiene de sitios reportados como legítimos. En segundo lugar, analiza los sitios web visitados para verificar si contienen características comunes en los sitios phishing. En tercer lugar, pero con el consentimiento del usuario, envía algunas direcciones de los sitios web visitados a Microsoft para comprobar si se trata de un sitio phishing y mantener su lista actualizada. Finalmente, si un sitios web que es visitado por el usuario está en la lista de sitios phishing reportados, el navegador mostrará una página roja de alerta, si no aparece en la lista pero contiene características sospechosas, notificará en la barra de direcciones del navegador que se trata de un posible sitio malicioso.

 
Inmediatamente después de que el malware termina su proceso automáticamente, aparece la ventana "Trabajar sin conexión", si se cierra la ventana desde el icono superior derecho [x] o se selecciona la opción "Trabajar sin conexión", la ventana vuelve a parecer. Si se selecciona la opción "Volver a intentar", se puede observar en el tráfico de red capturado que se intentan resolver algunos dominios.
 

 

La lista de algunos dominios que el malware intenta resolver es la siguiente:

 

Se hizo una prueba de concepto (PoC) en la cual se modificó el archivo hosts en el equipo infectado, de tal manera que los dominios que el malware intentaba resolver fuesen redireccionados a otra máquina que se encontraba en la misma red local con el servicio web activo, ya que los intentos de conexión eran hacia el puerto 80.

 

La máquina infectada establece las conexiones al equipo remoto. La actividad de red que realiza consiste en enviar una petición de sincronización al dominio objetivo, esperar la confirmación de esa sincronización, posteriormente establecer conexión y finalmente terminar la conexión con ese sitio para hacer el procedimiento anterior con el siguiente sitio en su lista. 

 

Se dejó interactuar a la muestra con Internet y su comportamiento es el mismo, establecer conexión con un sitio web, desconectarse, si un sitio no está activo no se establece la conexión y consulta otro sitio web. Lo anterior genera carga en la red de la víctima provocando que su conexión a la red sea lenta debido a que el proceso malicioso también usa su ancho de banda.

 

Al consultar información sobre este malware en el servicio de VirusTotal, nos muestra que solo 10 de 42 soluciones de Antivirus lo detectan como malicioso. A continuación el reporte:

 

La recomendación a todos los usuarios es que revisen de manera periódica la configuración de todos sus navegadores para descartar cambios por malware que puedan ocasionar que los usuarios estén desprotegidos o que sean redirigidos a sitios phishing usando la configuración de un proxy.

 
También se recomienda que configuren las opciones de sus navegadores en cuanto al borrado del historial de navegación, datos de formulario y contraseñas, una vez que cierran su navegador. Desconfiar de los archivos adjuntos en el correo electrónico, aunque parezcan provenir de fuentes confiables, nos puede ayudar a no infectarnos de algún malware y/o seguir propagando por la red alguna amenaza, es importante preguntar al remitente qué es lo que contiene su archivo, ya que puede estar propagando malware incluso sin darse cuenta.
 
Finalmente conviene tener actualizado el antivirus y prestar mayor atención al momento de navegar por la red para evitar ser víctima de fraudes por phishing.
Enviado por jbanfi el Lun, 09/24/2012 - 10:53