Cae la Botnet de #Gameover
Jun15

Cae la Botnet de #Gameover

En las conferencias que hago sobre temas relacionados con el ecrime, siempre cuento que los buenos siempre acaban ganando. Puede ser que sea mas tarde que temprano pero acaban ganando. Y un ejemplo de ello es el takedown de la Botnet P2P de Zeus/Murofet/Licat Esta es una imagen sacada por el FBI, donde muestra muy por encima como era la estructura de la Botnet P2P de Zeus. A diferencia con una estructura tradicional, donde conocemos que existe: Dropzone: Sitio donde irán a parar los datos robados por el malware C&C: Panel de comtrol donde se gestiona el malware, las infecciones, etc.. IP/URL descarga de binario: Desde donde se descarga el binario y se infectan los usuarios IP/URL descarga de configuración: Una vez ue qel malware se ejecuta se descarga la configuración Si somos capaces de identificar estos puntos centrales, significa que si conseguimos dar de baja algunos de esos puntos haremos mucho daño a la estructura de malware. En cambio, en una estructura descentralizada P2P, tenemos un problema bastante gordo ya que no tenemos una estructura centralizada donde nosotros podremos “atacar” para dejar coja el esquema de fraude. Hubieron varios estudios sobre el tema, en el que se explicaba como habían echo un estudio de la Botnet P2P de Zeus y datos que habían conseguido extraer. El informe es una pasada y detalla como funciona, en DragonJAR, hablamos sobre él. De la operación, hay alguien en busca y captura: La nota de prensa, la podemos encontrar en la web del FBI Quedan mas familias que usan P2P para operar como Sality y Zero Access por lo que no os extrañe que se le siga dando caña al...

Leer Más
Nuevo ataque a cajeros automáticos II
Jun01

Nuevo ataque a cajeros automáticos II

En la entrada anterior veíamos algunos de los ataques a cajeros electrónicos de los bancos con el fin de conseguir dinero. En el blog de Brian Krebs se hace eco de la noticia de un nuevo ataque que tiene como objetivo los ATM.Las dos personas que hicieron el ataque eran de origen Ucraniano y llegaron a robar hasta 100000 dólares de hasta 7 cajeros automáticos. Esta es la imagen del equipo incautado: En este nuevo ataque los criminales utilizaron un dispositivo que se conecta a un  ordenador portátil, y se introduce luego en el cajero, en el sitio donde se colocarían las tarjetas. Con este conjunto de herramientas, los hombres fueron capaces de instalar malware capaz de desviar los datos y PIN de tarjetas de los clientes. El dispositivo parece ser una placa de circuito verde rígido que es de aproximadamente cuatro o cinco veces la longitud de una tarjeta de cajero automático. Esta imagen os resultará muy familiar: Si pienso en el ataque me recuerda a esta escena de la película Terminator. Cuando se introduce la placa  en el cajero automático, el cajero se bloquea y deja una pantalla en negro. Después de retirar el dispositivo, el cajero se reiniciará y el cajero empezará a registrar y grabar todas las tarjetas que se introduzcan en e cajero. Si os acordáis de la imagen de antes, en la que se mostraba en material incautado, si lo vemos un poco mas de cerca… Esa lamina verde es lo que se introducía en el cajero para instalar el malware. Quizás, os podáis preguntar como los malos consiguen atacar los cajeros, saber como funcionan. Aquí tenemos un ejemplo: Los malos son capaces de comprar un ATM por Ebay,por lo que se pueden encargar de saber como funcionan ciertos modelos. Esto y vías de investigación les ayudan a conseguir fallos para luego poder explotarlo. Referencia...

Leer Más
Nuevo ataque a cajeros automáticos
May31

Nuevo ataque a cajeros automáticos

En el ámbito de ataque a los bancos, seguramente los usuarios se percaten mas de los ataques por troyanos bancarios (ataques por software). En ese ámbito, el usuario queda infectado, bien por una conexión con un Exploit kit o bien porque le llega al usuario un correo con el malware adjuntado. En la imagen podríamos ver el proceso de infección para el usuario: El usuario visita una página y se carga un frame HTML. El frame trae una función de detección de plugin, que se encargará de detectar versiones de Software. Una vez se detecta la versión de plugin si el Exploit kit tiene un exploit para la versión detectada, el usuario quedará infectado. Si el usuario queda infectado, se infectará con una muestra de malware bancario o un ramsomware, por ejemplo. Pero hoy no hablaremos de los troyanos bancarios ni los Exploit kits, si no de los ataques a cajeros. En este caso es la entidad bancaria la que queda afectada por los ataques. De ataques hay diversos, uno de ellos por ejemplo es infectar el cajero con un malware que lo que haga es buscar tarjetas de crédito en el sistema. Un ejemplo de esto son los Dump Memory Grabber Este malware lo que hará es buscar en la memoria RAM tarjetas de crédito. La imagen es de un panel donde se pueden encontrar archivos de texto con los números de tarjeta. Estos ataques, se basan en ataques de Software, pero hay otros ataques que también se aplican a ATM. Estoy hablando del uso de Skimmers, que lo que hará será copiar la banda de las tarjetas que se usan en la banca. Los Skimmer, pasan desapercibidos a los usuarios, un ejemplo en una imagen: Como veis se colocará el Skimmer, encima del cajero. substituyendo el original. Otra imagen donde se aprecia el Skimmer extraído: Hemos podido ver dos escenarios de ataques disponibles. Ataques por Software y ataques por hardware, en la siguiente entrega, veremos uno de los ataques mas recientes que han habido en cajero y otros tipos de ataque en...

Leer Más
Robo de contraseñas con formularios online
Abr20

Robo de contraseñas con formularios online

El SPAM sigue siendo el “gran” problema de Internet. Los proveedores de correo electrónico trabajan duramente para que nos llegue la menor cantidad de correos electrónicos que son basura y que lo único que nos aporta normalmente es, malware, suscripciones a mas servicios de SPAM o similares, ofertas fraudulentas, ataques de phishing etc… En el caso de hoy tenemos el típico correo que nos llega con un texto, en el que nos anima a validar nuestra cuenta. Para ello, y para nuestra comodidad (nótese el toque irónico) nos proporciona un archivo adjunto. Vamos a echarle un vistazo: Es un archivo HTM, bastante sencillo y claro de lo que hace. Nos solicita el email y el password le da igual el proveedor.  Incluso nos hace verificar el password por si acaso nos equivocamos y cuando verificamos la cuenta. Por POST envía los datos a un PHP que se llama SendMail, por lo que este a su vez imagino enviará un correo al administrador del sitio. Como suele pasar con estos timos cuando he querido “atacar” al fichero sendmail => [email protected]:~/Escritorio$ curl -I http://emailupgrades.ucoz.com/_sendmail.php HTTP/1.1 404 Not Found Server: uServ/3.2.2 Date: Mon, 21 Apr 2014 01:07:02 GMT Content-Type: text/html; charset=UTF-8 Content-Length: 6933 Connection: keep-alive Keep-Alive: timeout=15 ETag: “5342af3b-1b15” Así que me quedado sin el fichero. No es novedad que los malos reutilizan infraestructura para montar varios servicios a lo largo del tiempo. No todas las webs que monten han de ser con fines maliciosos pero la historia no dista de ser siempre muy parecida. Si consultamos un registro de DNS pasivo para ver que webs se montaron sobre la IP de este fraude: Status: IP address found in dataset [+] Lastest domain resolved +———————+————————–+ |    last_resolved    |         hostname         | +=====================+==========================+ | 2014-04-18 00:00:00 | mailre-validate.ucoz.ua  | +———————+————————–+ | 2014-04-18 00:00:00 | prowallpapers.info       | +———————+————————–+ | 2014-04-18 00:00:00 | servicehelpdesk.clan.su  | +———————+————————–+ | 2014-04-17 00:00:00 | exchangeweboowa.ucoz.ae  | +———————+————————–+ | 2014-04-17 00:00:00 | hoerspielstube.ucoz.com  | +———————+————————–+ | 2014-04-16 00:00:00 | aknrtxb.ucoz.co.uk       | +———————+————————–+ | 2014-04-16 00:00:00 | bershadmoloko.at.ua      | +———————+————————–+ | 2014-04-16 00:00:00 | endigo.ucoz.ru           | +———————+————————–+ | 2014-04-16 00:00:00 | gdz-work.3dn.ru          | +———————+————————–+ | 2014-04-16 00:00:00 | maup.ucoz.net            | +———————+————————–+ | 2014-04-16 00:00:00 | morebareclips.com        | +———————+————————–+ | 2014-04-15 00:00:00 | clickweb.ucoz.ru         | +———————+————————–+ | 2014-04-15 00:00:00 | gtwaehkn.ucoz.com        | +———————+————————–+ | 2014-04-15 00:00:00 | images-droles.ucoz.com   | Podemos encontrar el contenido completo en Pastebin Como veis la IP ha tenido bastante actividad. Además de comprobar estos datos en el pDNS de Virus Total, podemos lanzar Automater para tener mas datos sobre el dominio: ____________________     Results found for: emailupgrades.ucoz.com     ____________________ [+] Fortinet URL Category: Information Technology [+] URL redirects to: http://emailupgrades.ucoz.com [+]...

Leer Más

Phishing usando site legítimos

Una de las vías que tienen los ciber criminales para conseguir credenciales de los usuarios de la banca electrónica es realizar ataques de phishing. Esta técnica se lleva usando desde el principio de los tiempos y se combina con una técnica de propagación, que también podemos llamar campaña. Esta propagación se hace mediante ads (anuncios), vía correo electrónico que es lo mas común etc.. Estaba revisando mi SPAM del gmail que de vez en cuando me encuentro alguna sorpresa y este ha sido el caso. Me ha llegado un correo comentando que había habido un problema de seguridad con mi cuenta y que debía de verificar la seguridad. He tapado algunas cosas del correo. Al clicar en el enlace en realidad acababas yendo a una web que no tiene nada que ver con la web del banco. Este es el aspecto del banco Para alguien que no tenga conocimiento en la materia lo mas probable es que acabe introduciendo sus datos en el phishing. Salvo las partes que están tapadas, como veis el phishing se parece muchísimo al original, por no decir que es idéntico. ¿Como lo hacen? Pues hay varias maneras de poner el phishing, una de las mas graciosas es colocar una imagen y que la única parte activa del phishing sea el campo de login y password. Pero en este caso era una copia exacta de la web realizada con Httrack Así que ya sabemos que la web es copiada. ¿Como consiguieron entrar los malos al hosting y colocar el phishing? Pues seguramente explotando alguna vulnerabilidad del site, o alguna contraseña. Para saber un poco como había ido la historia revisé el CMS que había instalado. Como no, uno de los plugins tenía una vulnerabilidad del tipo SQL injection. Como veis los criminales usan estos vectores de ataque para conseguir subir el phishing a los sites legítimos. Para ellos explotan alguna vulnerabilidad conocida en el CMS para tratar de conseguir su...

Leer Más

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES