-------------------------------------------------------------------
Hispasec - una-al-día 23/11/2007
Todos los días una noticia de seguridad www.hispasec.com
-------------------------------------------------------------------
Ataque phishing a gran escala contra entidades bancarias españolas
que además intenta troyanizar el sistema
------------------------------------------------------------------
En los últimos días se están produciendo varios ataques phishing
específicos contra entidades españolas especialmente agresivos a través
de un kit que comprende a muchos bancos españoles. No sólo simulan ser
la página del banco, sino que además intentan infectar al sistema que lo
visita de una manera nada trivial.
La pasada semana detectamos en Hispasec un kit de phishing que afectaba
a 35 entidades españolas, todos en un mismo servidor. Hasta ahí, el
hecho es relativamente normal. Hace sólo algunas horas, hemos detectado
el mismo kit alojado en varios servidores distintos, lo que ya indica
cierta insistencia de los atacantes. Lo importante en este caso es que
además se está intentando infectar a quien lo visita, de forma que no
sólo es víctima quien introduce los datos en la página falsa. A través
de un JavaScript y según el navegador, la página intenta ejecutar código
y hacerse con el sistema. En algunos casos, lo único que intentan es
desestabilizar el navegador realizando ataques de JavaScritp, con el
único propósito de que sea necesario reiniciar la máquina.
Los phishing suelen estar alojados en páginas legítimas comprometidas,
normalmente en algún directorio interno de la web. La estructura suele
ser:
http://www.XXXXX.ZZ/XXXX/s/(banco)
Habiendo encontrado dominios de Rusia, Brasil y .ORG. Donde "banco"
representa el código de la entidad afectada. Hasta 35 por dirección.
Todas españolas.
Las entidades a las que pretende simular son:
Bancaja, Banca March, Bankinter, Bankoanet, BBK, BBVANet, Banco
Guipuzcoano, Caixa Catalunya, Caixanova, Caja España, CajaMadrid,
CajaMurcia, CajaSur, Caja Mediterraneo, Caja Canarias, Caja Castilla La
Mancha, Caja Navarra, Deutsche Bank, Caixa Geral, Banco Herrero,
IberCaja, ING Direct, Kutxa, Caixa d'Estalvis Laietana, Caixa Ontinyent,
OpenBank, Caja Rural, Banco Sabadell, Solbank, Caixa Tarragona, Unicaja,
Banco Urquijo, VitalNet.
En estos momentos al menos un servidor sigue activo y casi toda su
infraestructura (donde se aloja el malware) también. Se recomienda no
seguir ningún enlace, ni aunque se conozca que se trata de un phishing y
se pretenda simplemente reportar el incidente, además de actualizar el
sistema y el antivirus.
El ataque está fuertemente ofuscado, con JavaScripts cifrados que
intentan descargar y ejecutar diferentes binarios en una especie de
laberinto de redirecciones. Hemos encontrado hasta 6 ejecutables
distintos, todo malware bancario destinado a Windows, y con muy
diferentes niveles de detección en VirusTotal según el archivo. De una
forma bastante agresiva, el ataque parece intentar aprovechar
vulnerabilidades del navegador para la ejecución de código.
Informaremos en profundidad sobre el ataque cuando tengamos más detalles
al respecto.
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3317/comentar
Sergio de los Santos
