Phishing: mejorando nuestras campañas

Una de las cosas más importantes a la hora de realizar una campaña de phishing [N.d.E. como es obvio, siempre desde la legalidad] es asegurarse de que nuestro correo consigue evadir los filtros anti-spam y así poder llegar a la bandeja de entrada de nuestra víctima.

En este post no se va a explicar cómo se utiliza Gophish, que ya hemos mencionado en algún post, simplemente se van a explicar una serie de pasos a seguir para que nuestros correos sean más confiables. No está de más añadir que siguiendo estos pasos no asegura un éxito del 100%, cada gestor de correos tiene sus propias reglas de filtrado.

Partimos de la base de que Gophish ya está instalado, por lo cual el siguiente paso sería obtener un dominio y realizar una serie de cambios en la administración de DNS.

[Read more…]

Shadow Brokers: explotando Eternalblue + Doublepulsar

Hace pocos días saltaba la noticia de que se el grupo Shadow Brokers había liberado una nueva hornada de exploits de la NSA. Por si esto fuera poco, en el github donde están los exploits también hay información sobre como atacar a los sistemas bancarios.

La gran mayoría de los exploits publicados hacen que comprometer un sistema Windows sea cosa de niños y casi como vemos en las películas, puesto que ente ellos se encuentran varios 0-day (ahora ya parcheados por Microsoft) que atacan al protocolo SMB en todas sus versiones.

De todos los exploits disponibles, el que más ha llamado la atención a la comunidad ha sido el combo del llamado Eternalblue + Doublepulsar. En este post vamos a explicar cómo desplegar un entorno de pruebas donde poder probar los exploits.

(N.d.E.: Sobra decir que la información se proporciona a título informativo y didáctico, con objeto de colaborar a mejorar el conocimiento de los técnicos en ciberseguridad. Los cibercriminales no necesitan que nadie les enseñe cómo utilizar los exploits, y a aquellos incautos scriptkiddies a los que se les ocurra jugar a ciberdelincuentes, en fin, mucha suerte en los juzgados).

[Read more…]

FastIR Collector

FastIR es un proyecto código abierto desarrollado por los expertos de CERT SEKOIA para ayudarnos en la gestión de incidentes de seguridad.

Esta herramienta ofrece la posibilidad de extraer MFT, MBR, tareas programadas, realizar volcados de memoria y guardarlo todo en archivos csv. Una de las características principales de FastIR es la capacidad de realizar las recolecciones forenses muy rápido; una recolección estándar tardaría menos de 1 y medio.

El software funciona en equipos de 32 y 64 bits y con los siguientes S.O:

  1. Windows XP
  2. Windows Server 2003
  3. Windows Vista
  4. Windows 7
  5. Windows Server 2008
  6. Windows 8/8,1
  7. Windows Server 2012

[Read more…]

Acecard, el troyano bancario que pasó desapercibido

¿Qué es Acecard?

Acecard es un troyano desarrollado para funcionar en dispositivos Android, capaz de imitar las plataformas de pago online (Paypal, ebay…), bancos e incluso suplantar la identidad de los usuarios en las redes sociales. Además de robar los datos bancarios de las víctimas también puede hacer pagos por ellos.

La principal fuente de infección es mediante la instalación de aplicaciones falsas (fuera de la PlayStore), por spam electrónico e incluso por anuncios Flash. Cuesta creer que un virus tan poderoso haya pasado tanto tiempo desapercibido. La primera vez que se detectó fue en 2014 por la empresa Kaspersky, pero como vieron que apenas tenía actividad cometieron el error de registrar el código y pasarlo por alto.

Es verdad que tenía poca actividad, pero esto era debido a que en su fase inicial funcionaba como un simple sniffer. Solo enviaba información a servidores, con lo que evitaba su detección (en la medida de lo posible). Cuando los creadores de Acecard tuvieron suficientes datos, pasaron a la siguiente fase: el robo de información bancaria y suplantación de identidad.

El troyano se propaga bajo la apariencia de un juego, pero en realidad no tiene ninguna funcionalidad. La funcionalidad de esta aplicación consiste en descargar e instalar una modificación totalmente funcional del troyano bancario.

acecard

El principio de Acecard

Según explica Roman Unuchek, el troyano Acecard fue creado por los mismos cibercriminales autores del primer troyano Tor para android y el primer cifrador de smartphones. Analizando el código de estos malwares se puede observar que tienen muchos fragmentos en común.

En octubre de 2014 Acecard ya no utilizaba la red TOR y empezó a cambiar la localización de sus ataques (Australia,Alemania…). En Noviembre de 2015 evolucionó, empezó a robar las contraseñas de las redes sociales más populares. Comenzaron entonces las aplicaciones phishing a unos cuantos bancos australianos. En los siguientes 9 meses no hubo apenas cambios en Acecard hasta que en Agosto de 2015 se detectó una funcionalidad que consistía en reemplazar la aplicación de Paypal. También incluyó la funcionalidad #Wipe que devuelve el móvil a estado de fábrica.

Los ataques a gran escala de Acecard empezaron a mediados de mayo de 2015 y su objetivo eran los bancos australianos. En tan solo 4 meses después de los primeros ataques se realizaron otros tantos más (unos 6000) en objetivos de diversas partes del mundo (Rusia,Alemania,España…) y aquí fue cuando ya saltaron todas las alarmas. Por desgracia los antivirus en sistemas Android son inútiles y la única forma de prevenir la infección es descargando aplicaciones de sitios de confianza, aunque la PlayStore también se vio afectada al aparecer en ella aplicaciones infectadas.

Similitud con otros troyanos

Como apunta Roman Unuchek y muestra en la web de Kaspersky, podemos observar muchas similitudes entre los troyanos:

Pletor

Es un troyano cifrador para android que realizó más de 2000 infecciones en 13 países distintos. Una vez infectado el smartphone el contenido de la memoria se cifra utilizando cifrado AES, atacando a las siguientes extensiones: .jpeg, .jpg, .png, .bmp, .gif, .pdf, .doc, .docx, .txt, .avi, .mkv, .3gp, .mp4.

Ejemplo de código:

cod2

Torec

Fue el primer troyano que utiliza la red TOR para Android. Al utilizar este tipo de red es imposible tumbar los servidores C&C pero por contra se necesita mucho más código.

Ejemplo de código:

cod0

Acecard

Ejemplo de código:

cod1

Referencias