Archive for Phishing

Copycat

Cuando estamos realizando un ataque tipo phishing a una determinada web, lo habitual es que clonemos la interfaz de la misma, haciendo creer a la víctima que está en la web real. Normalmente, esta web creada carece de funcionalidad, con lo que es posible que ésta se de cuenta de alguna manera, que algo “raro” está pasando.

Hoy voy a hablaros de una herramienta muy potente, que pretende resolver este problema. Su funcionamiento es sencillo: utilizamos un mapeo de los subdominios a suplantar, de manera que necesitamos que la víctima visite la web con la DNS suplantada. La herramienta realizará el cambio de DNS, y realizará la conexión con la web real, de manera que se mantiene la funcionalidad del sitio original.

Vamos a probar cómo funciona. Necesitamos node.js v6 o superior así que, en este caso, utilizaremos ArchLinux. Primero, instalamos npm, el gestor de paquetes de node.js:

sudo pacman -Syu npm

Read more

Phishing bancario con Ruralvia de Caja Rural

Firma invitada: Inmaculada López Gutiérrez @inmaculadalogu

En esta ocasión tenemos el placer de contar con la colaboración de Inmaculada López Gutiérrez, a la que agradecemos su investigación y redacción de este interesante post sobre phishing bancario. ¡Gracias Inmaculada!


Me estreno como “bloguera” tras recibir, cuando iba dispuesta a descansar un ratito, un correo “con premio” como los hackers a quienes sigo dicen. Reconozco que a quienes no lo somos, a veces nos cuesta seguir las enseñanzas de los mismos, así que quizá por ello, pueda ser útil el contar lo ocurrido desde la visión de una persona no experta en seguridad como yo. Más que empezar contando el contenido de este email recibido, mucho más claro queda si lo muestro tal cual:

Phishing bancario

Al leerlo, y gracias a todos los consejos de estos “Grandes”, desconfié de inmediato de ese enlace, sobre todo, como siempre bien dicen, usando el sentido común: Mi banco jamás me pediría que realizase una verificación tal a través de un correo, y mucho menos, pinchando en un enlace. Pero debo reconocer que me asombró el perfecto español con el que estaba escrito, y el buen formato de la dirección de correo electrónico que, ya que lo leí en el teléfono móvil, no me mostraba el dominio de la misma. Eso si, al pulsar para verla por completo, ese dominio que nada tiene que ver con la entidad bancaria, viene a ser un nuevo indicio de que es un correo “con premio”.

Picada por el bichillo de la curiosidad que esto de la seguridad informática tiene y siguiendo los consejos recibidos por uno de estos expertos en sus charlas, fui a usar las que él mismo llamó Técnicas Sencillas de Análisis de Malware, todas ellas online. Read more

Analizar malware con Anubis

En la última semana hemos recibido en nuestro laboratorio unos binarios provenientes de campañas de phishing y envío de malware, que hemos procedido a analizar de una forma muy práctica y bastante efectiva por el resultado de dicho análisis, que nos permite rápidamente extraer unas primeras contramedidas por si ha habido alguna infección. Vamos a analizar malware con Anubis.

El último de los ficheros lo hemos recibido esta misma mañana y es el que usaremos en este artículo.

Concretamente se trata de un fichero adjunto en este mensaje que “generosamente” Bobby nos envía y que se le había olvidado adjuntar en un correo anterior. Todo un detalle.

Analizar malware con Anubis

Un primer paso era analizar el fichero con el antivirus instalado en uno de los equipos usados como sandbox, con antivirus Avira actualizado hasta el día. En ese primer análisis no salió ninguna detección. Acto seguido, decidimos probar con los 57 motores de análisis de VirusTotal (donde pudimos comprobar que el motor de Avira no lo detectaba), obteniendo en un primer análisis sólo 7 detecciones de los 57 motores, y al cabo de 2 horas un resultado de 12 detecciones.

Analizar malware con Anubis

Aunque nuestro antivirus Avira no lo había detectado, gracias a VirusTotal pudimos comprobar que efectivamente se trata de malware, concretamente el troyano Trojan.Upatre.Gen.3.

Como desconocemos lo que este troyano es capaz de hacer, y queremos saber posibles contramedidas por si ha habido alguna infección, procedemos a subir el archivo a Anubis, donde además de un análisis del binario, lo desplegará y ejecutará en una máquina Windows propia, nos indicará las modificaciones en el sistema de ficheros, posibles entradas de registro y lo que es muy interesante también, nos facilitará una captura del tráfico generado por este malware tras su ejecución.

Analizar malware con Anubis

Como podemos ver en la imagen anterior, tras subir el fichero a Anubis y ser analizado, tenemos a nuestra disposición el informe del análisis en varios formatos, y en la parte inferior un enlace al fichero pcap resultante de la captura de tráfico realizada.

Veamos qué tiene ese fichero si lo abrimos con Wireshark:

Analizar malware con Anubis

Si filtramos los paquetes por tráfico http podemos ver algunas cosas interesantes. Por ejemplo que hace una petición a la IP 91.198.22.70. ¿Qué habrá en ese recurso?

Analizar malware con Anubis

¡Anda qué curioso! Es para saber desde qué IP pública nos hemos infectado. Sigamos. Podemos ver también varias peticiones para descarga de supuestos ficheros PDF, que seguro que no lo son y a su vez realizarán otro tipo de acciones maliciosas como descarga de otros binarios necesarios para lanzar su ataque, que tiene toda la pinta de CryptoLocker.

Como podéis ver, haciendo uso de servicios online totalmente gratuitos podemos de forma rápida y sencilla hacer un análisis del malware y sacar unas primeras conclusiones, y lo que es más importante, aplicar unas contramedidas que mitiguen o reduzcan el riesgo que esta amenaza pueda suponer para los sistemas de información de cualquier organización.

¿Contramedidas? Obviamente en primer lugar realizar un análisis de los posibles equipos infectados, concienciar al usuario de no abrir archivos adjuntos en correos de remitentes desconocidos y aplicar algunas reglas en la seguridad perimetral, por ejemplo, denegar el tráfico desde / hacia las direcciones IP observadas en la captura de tráfico. Se ha comprobado que están reportadas como servidores maliciosos.

Por cierto, en una de esas direcciones IP nos espera un bonito RouterOS de MikroTik. 😉

Analizar malware con AnubisComo siempre, espero que sea de vuestro interés, y nos leemos en siguientes artículos.

¡Saludos!

¿Cuál es tu contraseña? ¡Por favor, no hagáis esto!

Hola, me llamo Rafael y hace una semana empecé a trabajar con los Cracks de Miguel y Manuel, los cuales, ya que nos poníamos, me engañaron para ir escribiendo en el blog, cosas sobre seguridad web y de servidores que es mi especialidad 🙂

En realidad soy un programador pero, en uno de los proyectos en la Universidad, me insistieron mucho en los temas de seguridad y al final me acabé volviendo un poco de más “quisquilloso” con ello 😀

Para mi primera entrada quiero que os riáis un poco y veáis lo que no se debe hacer nunca con tu contraseña, que es compartirla con la gente y menos como hacen en este vídeo, que con un poco de ingeniera social todo el mundo la dice 😛

Así que ya sabéis, no deis pistas, ni cómo generáis vuestras contraseñas, para que no vulneren vuestra privacidad digital.

Un saludo.

Phishing en un sitio Web comprometido

A raíz de una consulta de un alumno del curso de Hacking Ético, decidí investigar acerca de un enlace que había recibido de un amigo suyo, que éste no había enviado. Me comentaba que se trataba de un enlace falso que al parecer robaba las credenciales de algunos servicios de correo como Gmail. Obviamente, a nosotros en hacking-etico.com todo lo que sea investigar este tipo de delitos nos encanta, y si puede servir para ayudar y concienciar, mejor.

En primer lugar utilicé servicios online para analizar URL y verificar si se trata de una URL maliciosa o no, y en caso de que lo sea, por qué y qué motores de análisis lo detectan como tal. He usado virustotal.com obteniendo el siguiente resultado.

Phishing en un sitio Web comprometidoPara evitar problemas de confidencialidad y reputación, hemos preferido ocultar los datos del sitio Web. Además desde el equipo de hacking-etico.com nos pondremos en contacto con los responsables del sitio advirtiéndoles de que están siendo víctimas y su sitio está siendo usado para realizar phishing. Sí se puede observar que se trata de un dominio .com.ve, de Venezuela.

Como podéis observar dos motores, de los más importantes, nos indican que se trata de un sitio Web malicioso. Incluso Fortinet va más allá y lo cataloga como un sitio de phishing. Mini-punto para Fortinet. Read more

Detectando un perfil falso en Facebook

¿A quién no le ha llegado una invitación en Facebook de un chico o chica (normalmente del extranjero), cuya foto suele ser bastante sugerente? ¿Nunca te has pensado quién es y para qué querrá ser mi amigo o amiga en Facebook? Si no te las hecho nunca en estos casos, es hora de que lo vayas haciendo. La respuesta es muy sencilla, puede ser un perfil falso en Facebook.

En la mayoría de los casos, salvo que te hayas ido de Erasmus y hayas tenido mucho éxito, se trata de un perfil falso que intenta ganarse tu confianza, añadiéndolo como amigo/a. Una vez ganado tu confianza, de forma automatizada tendrán lugar una serie de “ataques” de phishing, scam o invitación de aplicaciones maliciosas con el objetivo de provocar algún tipo de infección en tu equipo, robarte la cuenta Facebook o usarte para realizar algún tipo de transacción de dudosa legitimidad.

Una vez alertados sobre esta posibilidad, os voy a explicar una forma muy sencilla de detectar un perfil falso en Facebook. Para ello vamos a utilizar la foto de perfil del presunto perfil falso y a Google. Como se suele decir, Internet pone el problema, Google la solución (todavía estoy esperando alguna gratificación por parte de Google por la publicidad que le hago ;-).

Veamos un ejemplo: resulta que recibo la siguiente invitación de una tal Rosalind Booth que quiere ser mi amiga. Por el nombre, deduzco rápidamente que no es de Cádiz, así que empiezo a sospechar. Pasemos a ver su foto de perfil:

Rosalind Booth - Perfil falso

Rosalind Booth – Perfil falso

¿Tú también sospecharías verdad? Haces bien.

El siguiente paso es guardar la foto de su perfil, por ejemplo en el escritorio. Y ahora es cuando Google Imágenes entra en acción.

Abrimos Google > Imágenes y arrastramos la foto del perfil de nuestra “amiga” Rosalind al cuadro de texto de búsqueda de Google Imágenes, de la siguiente forma:

Perfil falso en Google

Perfil falso en Google

OK, ahora veamos los resultados de búsqueda de esta imagen.

Rosalind - Google Results

Rosalind – Google Results

Vaya! Parece que nuestra amiga Rosalind, también es conocida como Felita Grath, Raynell Fillmore y Alexis Rubin entre otras. Ha quedado claro que la foto del perfil se ha usado para muchos otros perfiles de Facebook y obviamente falsos.

Espero que os haya gustado, y por supuesto, que os pueda servir.

Saludos!

Dsploit: Pentesting con tu Smartphone

A día de hoy hay infinidad de herramientas para pentesting. El pentesting, es un vocablo inglés que viene a significar “Test de penetración”. Básicamente esta tarea las componen un conjunto de aplicaciones que realizan un determinado proceso. Todas juntas hacen una suite informática para testear nuestras redes.

Distribuciones como Backtrack, Kali Linux o Wifislax (basados en Linux) poseen en sus entrañas software para auditar todo tipo de sistemas informáticos.

Desde un simple y a la vez potente escaneo de puertos con nmap, hasta testear la fortaleza de nuestra red Wi-Fi. 

Todo esto, a su vez es realizado con dispositivos como portátiles, netbooks, ordenadores de sobremesa, servidores, etc… 

Pero hoy podemos ir más allá. Con el uso masificado ya de smartphones y tablets, tenemos en nuestras manos posibilidades muy interesantes para poner a prueba cualquier red de nuestra propiedad.

Para ello, hay una suite para Android llamada DSPLOIT, la cual permite multitud de opciones tan operativas como si estuviéramos ejecutando Backtrack o Kali Linux en nuestro portátil o equipo de sobremesa.

Obviamente todo depende la potencia de nuestro smartphone o tablet para ejecutar los procesos pertinentes a la hora de “probar” nuestra red.

dsploit

Read more

Routers SOHO vulnerables

Todos sabemos o hemos oído hablar sobre la problemática de la protección Wi-Fi. Si está o no protegida con clave, y si lo está, hemos de saber qué cifrado tiene.

No sólo por evitar que se aprovechen de la conexión a Internet que nosotros honradamente estamos pagando todos los meses, sino por los problemas que puede acarrearme el que también husmeen nuestro tráfico de red.

No obstante el artículo de hoy no vamos a tratar de Wi-Fi pero si está muy relacionado. Básicamente vamos a obviar que el enemigo está en nuestra red, y que gracias a las facilidades que le hemos dado ha penetrado en nuestra pequeña LAN, siendo un usuario más.

Recientemente, se testearon 13 Routers SOHO y Puntos de Acceso Inalámbricos para ver si eran o no vulnerables. SOHO es un término aplicado para routers “caseros” o para la pequeña empresa.

Los 13 analizados, fueron positivos en vulnerabilidades.

belkin

Read more

Subterfurge. Extracción de contraseñas.

No hace mucho publicamos un artículo que hablaba del Websploit. El cual conseguia hacerse con credenciales de acceso de facebook, twitter, o lo que se pusiera por medio, estando conectado a la misma red.

Hoy traemos otra utilidad muy similar, con interfaz gráfica, y bastante potente. Si bien hemos utilizado bastante menos esta herramienta para testear nuestras conexiones en nuestra LAN si que lo poco que lo hemos hecho, ha dado buenos resultados.

Se trata de la herramienta Subterfurge. Esta herramienta nos permite hacer un MITM (Man-in-the-middle). Nos ahorrará tiempo en el caso de probarla para realizar un pentest a nuestra red.

Os recordamos que esto es solo educativo y únicamente debéis probarlo en redes de vuestra propiedad, ya que de lo contrario estaríais incurriendo en un delito.

Es otra alternativa a las muchas que hay para testear tus propias redes, y observar en que punto son vulnerables.

 SubterfugeWallpaper

Read more

Extraer contraseñas del correo y redes sociales.

Hace poco comentamos los supuestos peligros de conectarse a una red Wi-Fi sospechosamente sin contraseña.

Expusimos a qué amenazas podríamos enfrentarnos como por ejemplo la clonación de un sitio Web tipo Facebook o Tuenti para obtener credenciales de acceso.

Esto supone un riesgo para nuestra privacidad ya que pueden fácilmente usurpar nuestra identidad. Por ello, en el artículo de hoy vamos a ver otro método para obtener contraseña de correo estando en una misma red local bien por cable o bien por Wi-Fi.

Con ello queremos demostrar que toda seguridad en tu propia red es poca, ya que con unos simples pasos estaremos obteniendo la clave.

La utilidad a usar es Websploit que podemos complementarla con algún escaner de red tipo ipscan, ettercap, etc… para identificar un objetivo.

wp

Read more