Robo de contraseñas con formularios online
abr20

Robo de contraseñas con formularios online

El SPAM sigue siendo el “gran” problema de Internet. Los proveedores de correo electrónico trabajan duramente para que nos llegue la menor cantidad de correos electrónicos que son basura y que lo único que nos aporta normalmente es, malware, suscripciones a mas servicios de SPAM o similares, ofertas fraudulentas, ataques de phishing etc… En el caso de hoy tenemos el típico correo que nos llega con un texto, en el que nos anima a validar nuestra cuenta. Para ello, y para nuestra comodidad (nótese el toque irónico) nos proporciona un archivo adjunto. Vamos a echarle un vistazo: Es un archivo HTM, bastante sencillo y claro de lo que hace. Nos solicita el email y el password le da igual el proveedor.  Incluso nos hace verificar el password por si acaso nos equivocamos y cuando verificamos la cuenta. Por POST envía los datos a un PHP que se llama SendMail, por lo que este a su vez imagino enviará un correo al administrador del sitio. Como suele pasar con estos timos cuando he querido “atacar” al fichero sendmail => [email protected]:~/Escritorio$ curl -I http://emailupgrades.ucoz.com/_sendmail.php HTTP/1.1 404 Not Found Server: uServ/3.2.2 Date: Mon, 21 Apr 2014 01:07:02 GMT Content-Type: text/html; charset=UTF-8 Content-Length: 6933 Connection: keep-alive Keep-Alive: timeout=15 ETag: “5342af3b-1b15” Así que me quedado sin el fichero. No es novedad que los malos reutilizan infraestructura para montar varios servicios a lo largo del tiempo. No todas las webs que monten han de ser con fines maliciosos pero la historia no dista de ser siempre muy parecida. Si consultamos un registro de DNS pasivo para ver que webs se montaron sobre la IP de este fraude: Status: IP address found in dataset [+] Lastest domain resolved +———————+————————–+ |    last_resolved    |         hostname         | +=====================+==========================+ | 2014-04-18 00:00:00 | mailre-validate.ucoz.ua  | +———————+————————–+ | 2014-04-18 00:00:00 | prowallpapers.info       | +———————+————————–+ | 2014-04-18 00:00:00 | servicehelpdesk.clan.su  | +———————+————————–+ | 2014-04-17 00:00:00 | exchangeweboowa.ucoz.ae  | +———————+————————–+ | 2014-04-17 00:00:00 | hoerspielstube.ucoz.com  | +———————+————————–+ | 2014-04-16 00:00:00 | aknrtxb.ucoz.co.uk       | +———————+————————–+ | 2014-04-16 00:00:00 | bershadmoloko.at.ua      | +———————+————————–+ | 2014-04-16 00:00:00 | endigo.ucoz.ru           | +———————+————————–+ | 2014-04-16 00:00:00 | gdz-work.3dn.ru          | +———————+————————–+ | 2014-04-16 00:00:00 | maup.ucoz.net            | +———————+————————–+ | 2014-04-16 00:00:00 | morebareclips.com        | +———————+————————–+ | 2014-04-15 00:00:00 | clickweb.ucoz.ru         | +———————+————————–+ | 2014-04-15 00:00:00 | gtwaehkn.ucoz.com        | +———————+————————–+ | 2014-04-15 00:00:00 | images-droles.ucoz.com   | Podemos encontrar el contenido completo en Pastebin Como veis la IP ha tenido bastante actividad. Además de comprobar estos datos en el pDNS de Virus Total, podemos lanzar Automater para tener mas datos sobre el dominio: ____________________     Results found for: emailupgrades.ucoz.com     ____________________ [+] Fortinet URL Category: Information Technology [+] URL redirects to: http://emailupgrades.ucoz.com [+]...

Leer Más
Sptoolkit, una campaña de phishing profesional desde tu casa!!
ago24

Sptoolkit, una campaña de phishing profesional desde tu casa!!

La campañas de phishing se usan y se siguen usando para el robo de credenciales, para infectar a los usuarios, para hacer campañas de click-fraud, en fin para diversos menesteres. Hoy os traigo SPToolkit, un framework para ataques de phishing. Para usarlo, nos bajamos el código de Github. https://github.com/sptoolkit/sptoolkit/tree/master/spt Necesitaremos un servidor con mysql, apache2, php5, y las extensiones de curl y ldap de PHP. Opcionalmente necesitaremos el paquete ZIP instalado. Antes de instalar el framework, SPToolkit comprobará que lo tenemos todo instalado. Previamente necesitaremos crear la base de datos, donde instalaremos el Framework SPT. Una vez tengamos los datos, los proporcionamos en la instalación. Instalamos la base de datos. Aquí muestra que se va a instalar en la base de datos del framework, podemos ver cosas como las campañas, los objetivos etc… Le damos a Continue Tiene requerimientos de contraseña y no pueden haber espacios en el campo Last Name. Ya hemos rellenado todos los campos que necesitábamos. Ahora recibiremos un mensaje de que hemos terminado el proceso. Ahora que lo tenemos instalado, haremos login en la aplicación. Como veis arriba. nos indica de que actualicemos el navegador. Introducimos los datos de acceso y vamos por la aplicación. Este es el aspecto que tiene la aplicación una vez iniciada. Es muy simple y tendremos estadísticas nada mas entrar al panel. No tendremos que hacerlo todo de zero. El framework ya tiene algunos templates custom para hacer campañas de phishing. Vemos que hay diferentes opciones para los templates custom. Vamos a editar uno para ver el aspecto que siguen. Aquí tenemos un perfecto ejemplo de un correo de phishing. Habría que editar algún template, además de añadir los valores del servidor de correo y los targets para iniciar la campaña de phishing....

Leer Más

Phishing usando site legítimos

Una de las vías que tienen los ciber criminales para conseguir credenciales de los usuarios de la banca electrónica es realizar ataques de phishing. Esta técnica se lleva usando desde el principio de los tiempos y se combina con una técnica de propagación, que también podemos llamar campaña. Esta propagación se hace mediante ads (anuncios), vía correo electrónico que es lo mas común etc.. Estaba revisando mi SPAM del gmail que de vez en cuando me encuentro alguna sorpresa y este ha sido el caso. Me ha llegado un correo comentando que había habido un problema de seguridad con mi cuenta y que debía de verificar la seguridad. He tapado algunas cosas del correo. Al clicar en el enlace en realidad acababas yendo a una web que no tiene nada que ver con la web del banco. Este es el aspecto del banco Para alguien que no tenga conocimiento en la materia lo mas probable es que acabe introduciendo sus datos en el phishing. Salvo las partes que están tapadas, como veis el phishing se parece muchísimo al original, por no decir que es idéntico. ¿Como lo hacen? Pues hay varias maneras de poner el phishing, una de las mas graciosas es colocar una imagen y que la única parte activa del phishing sea el campo de login y password. Pero en este caso era una copia exacta de la web realizada con Httrack Así que ya sabemos que la web es copiada. ¿Como consiguieron entrar los malos al hosting y colocar el phishing? Pues seguramente explotando alguna vulnerabilidad del site, o alguna contraseña. Para saber un poco como había ido la historia revisé el CMS que había instalado. Como no, uno de los plugins tenía una vulnerabilidad del tipo SQL injection. Como veis los criminales usan estos vectores de ataque para conseguir subir el phishing a los sites legítimos. Para ellos explotan alguna vulnerabilidad conocida en el CMS para tratar de conseguir su...

Leer Más
Analizando un correo de SPAM
may20

Analizando un correo de SPAM

Los proveedores de correo electrónico vigilan de ajustar sus filtros de SPAM para que los usuarios no sufran oleadas de correos basura con phishings, malware etc… Yo siempre reviso el SPAM por si acaso viene algún premio que merezca la pena analizar. En la revisión de correos que estaba realizando me ha llegado un correo de SPAM, se trataba de un phishing. Sabía que era así porque me ofrecían cambiar las claves de una cuenta bancaria de la que yo no tenía cuenta registrada. Observamos el correo: Tenía claro de que se trataba de un phishing ya que yo no tengo cuenta en Banamex. Miramos el enlace donde apunta la palabra Entrar: http://www.baltiprofiil.ee/boveda.banamex.com.mx/serban/ La parte en negrita es el dominio, para confundir al usuario han usado la palabra banamex en el directorio donde estaría alojado el phishing. darkmac:malware marc$ curl -I http://www.baltiprofiil.ee/boveda.banamex.com.mx/serban/ HTTP/1.1 404 Komponenti ei leitud Date: Mon, 20 May 2013 21:38:03 GMT Server: Apache/2.2.24/DataZone SP (Unix) mod_zfpm/0.2 P3P: CP="NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM" Expires: Mon, 1 Jan 2001 00:00:00 GMT Cache-Control: post-check=0, pre-check=0 Pragma: no-cache Set-Cookie: fb2e82f3aa5e9e6274ab1d0eb636e5bd=6e5fcf339c991bbe34523d245d2d2a29; path=/ Set-Cookie: lang=deleted; expires=Sun, 20-May-2012 21:38:02 GMT; path=/ Set-Cookie: jfcookie=deleted; expires=Sun, 20-May-2012 21:38:02 GMT; path=/ Set-Cookie: jfcookie[lang]=deleted; expires=Sun, 20-May-2012 21:38:02 GMT; path=/ Last-Modified: Mon, 20 May 2013 21:38:03 GMT Content-Type: text/html; charset=utf-8 El phishing no está disponible, una lástima, me hubiera gustado analizarlo. He consultado el dominio en las listas negras y no está, por lo tanto puede que se trate de un dominio comprometido. http://multirbl.valli.org/lookup/baltiprofiil.ee.html Una de las cosas que podemos hacer es mirar las cabeceras del correo eso nos aportará mas información. Received: by 10.60.27.70 with SMTP id r6csp7332oeg; Sat, 18 May 2013 02:11:56 -0700 (PDT) X-Received: by 10.15.108.6 with SMTP id cc6mr79602894eeb.28.1368868315363; Sat, 18 May 2013 02:11:55 -0700 (PDT) Return-Path: <[email protected]> Received: from s16071902.onlinehome-server.info (intercampusonline.com. [212.227.89.54]) by mx.google.com with ESMTPS id i3si21728397eev.129.2013.05.18.02.11.54 for <[email protected]> (version=TLSv1 cipher=RC4-SHA bits=128/128); Sat, 18 May 2013 02:11:55 -0700 (PDT) Received-SPF: neutral (google.com: 212.227.89.54 is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=212.227.89.54; Authentication-Results: mx.google.com; spf=neutral (google.com: 212.227.89.54 is neither permitted nor denied by best guess record for domain of <strong>[email protected]</strong>) [email protected] Received: by <strong>s16071902.onlinehome-server.info</strong> (Postfix, from userid 502) id 9E1269FB0; Sat, 18 May 2013 10:18:52 +0200 (CEST) To: [email protected] Subject: Verificacion de datos en BancaNet X-PHP-Originating-Script: 502:index.php From: Notificaciones<[email protected]> Reply-To: [email protected] La dirección de correo estaba spoofeada por lo tanto el destinatario del correo pensará de nuevo que la notificación se la envía el banco. Una de las maneras de revisar esta parte es mirar la cabecera del correo. Como véis un pequeño análisis nos da información sobre el phishing...

Leer Más

Video Tutorial SET (Social Engineering Toolkit)

La ingeniería social es una de las puertas de acceso mas utilizadas por los delincuentes, para robar tu información personal o infiltrarse en una empresa. Por este motivo cada pentest que realicemos a una organización, siempre debe incluirse técnicas de ingeniería social, para ver que tan vulnerable es la empresa a este tipo de ataques y tomar las medidas correspondientes. SET (Social Engineering Toolkit) es un kit de herramientas que nos ayudara en la tarea de realizar ataques de ingeniería social, nos permite suplantar fácilmente la identidad de un sitio determinado, o enviar ataques por mail a las cuentas de correo de la compañía, infectar memorias usb o cds/dvds infectados, todo esto perfectamente integrado con el grandioso Metasploit Framework. A continuación, les dejo una serie de vídeo tutoriales para aprender a utilizar correctamente este kit de herramientas, espero que lo disfruten: Parte 1 – Introducción Parte 2 – Credential Harvester Parte 3 – Ataque JAVA Applet Parte 4 – Creando Phishing Client-Side Exploitation – JavaScript Obfuscation/AV Evasion Social-Engineer Toolkit Teensy HID USB Attack Vector The Social-Engineer Toolkit – Metasploit DLL Hijack Zero Day Mas Información: Social-Engineering...

Leer Más

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES