👨🏼‍🚀 ⛹🏼 👩🏽‍🤝‍👩🏼 Sniffers que podrían: cómo la familia FakeSecurity infectó las tiendas en línea 👩🏾‍🍳 😹 💼

En diciembre de 2018, los especialistas del Grupo IB descubrieron una nueva familia de rastreadores llamada FakeSecurity . Fueron utilizados por un grupo criminal que infectó sitios administrados por CMS Magento. Un análisis mostró que en una campaña reciente, los atacantes llevaron a cabo un ataque utilizando malware para robar contraseñas. Las víctimas eran los dueños de sitios de compras en línea que estaban infectados con un sniffer JS. El Centro de Respuesta a Incidentes de Seguridad de la Información del Grupo CERT-IB advirtió sobre los recursos atacados, y el analista del Grupo de Inteligencia de Amenazas- Viktor Okorokov decidió hablar sobre cómo era posible identificar actividades delictivas.

Recuerde que en marzo de 2019, el Grupo IB publicó el informe "Crimen sin castigo: análisis de familias de traficantes de JS", que analizó 15 familias de varios rastreadores de JS que se utilizaron para infectar a más de dos mil sitios de tiendas en línea.

Dirección única

Durante la infección, los atacantes inyectaron un enlace a un script malicioso en el código del sitio, este script se cargó y en el momento del pago de los bienes interceptó los datos de pago del visitante de la tienda en línea, y luego los envió al servidor de los atacantes. En las primeras etapas de los ataques que usaban FakeSecurity, los scripts maliciosos y las compuertas sniffer se ubicaban en el mismo dominio de magento-security [.] Org.

Más tarde, algunos sitios de Magento se infectaron con la misma familia sniffer, pero esta vez los atacantes usaron nuevos nombres de dominio para alojar el código malicioso:

fiswedbesign [.] com
alloaypparel [.] com

Ambos nombres de dominio se registraron en la misma dirección de correo electrónico greenstreethunter @ india [.] Com . Se proporcionó la misma dirección durante el registro del tercer nombre de dominio firstofbanks [.] Com .

Solicitud convincente

Un análisis de los tres nuevos dominios utilizados por el grupo criminal FakeSecurity reveló que algunos de ellos estaban involucrados en la campaña de distribución de malware, que comenzó en marzo de 2019. Los atacantes distribuyeron enlaces a páginas que decían que el usuario necesita instalar el complemento que falta para la visualización correcta del documento. Si el usuario comenzó a descargar la aplicación, su computadora estaba infectada con malware para robar contraseñas.

En total, se revelaron 11 enlaces únicos que condujeron a páginas falsas que incitaron al usuario a instalar malware.

hxxps: //www.etodoors.com/uploads/Statement00534521 [.] html
hxxps: //www.healthcare4all.co.uk/manuals/Statement00534521 [.] html
hxxps: //www.healthcare4all.co.uk/lib/Statement001845 [.] html
hxxps: //www.healthcare4all.co.uk/doc/BankStatement001489232 [.] html
hxxp: //verticalinsider.com/bookmarks/Bank_Statement0052890 [.] html
hxxp: //thepinetree.net/n/docs/Statement00159701 [.] html
hxxps: //www.readicut.co.uk/media/pdf/Bank_Statement00334891 [.] html
hxxp: //www.e-cig.com/doc/pdf/eStmt [.] html
hxxps: //www.genstattu.com/doc/PoliceStatement001854 [.] html
hxxps: //www.tokyoflash.com/pdf/statment001854 [.] html
hxxps: //www.readicut.co.uk/media/pdf/statment00789 [.] html

Una posible víctima de una campaña maliciosa recibió correo electrónico no deseado, la carta contenía un enlace a una página del primer nivel. Esta página es un pequeño documento HTML con un iframe, cuyo contenido se carga desde una página de segundo nivel. La página de segundo nivel es una página de destino con contenido que solicita al destinatario que instale un determinado archivo ejecutable. En el caso de esta campaña maliciosa, los atacantes utilizaron una página de destino con el tema de instalar el complemento que faltaba para Adobe Reader, por lo que la página de primer nivel imitó un enlace a un archivo PDF que se abrió en un modo de visualización en línea en un navegador. La página de segundo nivel contiene un enlace a un archivo malicioso distribuido como parte de una campaña maliciosa, que se descargará cuando se haga clic en el botón Descargar complemento .

Un análisis de las páginas utilizadas en esta campaña mostró que, por lo general, las páginas de segundo nivel se ubicaban en los dominios de los atacantes, mientras que la página de primer nivel y el archivo directamente malicioso se encontraban con mayor frecuencia en los sitios de comercio electrónico pirateados.

Ejemplo de estructura de página para distribución de malware

A través del correo no deseado, una víctima potencial recibe un enlace a un archivo HTML, por ejemplo, hxxps: //www.healthcare4all [.] Co [.] Uk / manuales / Statement00534521 [.] Html . El archivo HTML por referencia contiene un elemento iframe con un enlace al contenido principal de la página; en este ejemplo, el contenido de la página se encuentra en hxxps: // alloaypparel [.] com / view / public / Statement00534521 / PDF / Statement001854 [.] pdf . Como vemos en este ejemplo, en este caso, los atacantes usaron el dominio registrado, y no el sitio pirateado, para alojar el contenido de la página. En la interfaz que se muestra a través de este enlace, hay un botón Descargar complemento . Si la víctima hace clic en este botón, el archivo ejecutable se descargará desde el enlace especificado en el código de la página; en este ejemplo, el archivo ejecutable se descarga en hxxps: //www.healthcare4all [.] co [.] uk / manuales / Adobe-Reader-PDF-Plugin-2.37.2.exe , es decir, el archivo malicioso se almacena en el sitio pirateado.

Mefistófeles de nuestro tiempo

Un análisis del dominio alloaypparel [.] Com reveló que la distribución de malware utilizaba el kit de phishing Mephistophilus para crear y desplegar páginas de phishing para distribuir malware: Mephistophilus usa varios tipos de páginas de aterrizaje que incitan al usuario a instalar el complemento supuestamente faltante necesario para que la aplicación funcione. De hecho, el usuario instalará malware, un enlace al que el operador agrega a través del panel administrativo Mephistophilus.

El sistema Mephistophilus para ataques de phishing dirigidos se lanzó en foros clandestinos en agosto de 2016. Este es un kit de phishing estándar que utiliza falsificaciones web que ofrecen descargas de malware bajo la apariencia de una actualización de complemento (MS Word, MS Excel, PDF, YouTube) para ver el contenido de un documento o página. Mephistophilus fue desarrollado y lanzado a la venta por el usuario de foros clandestinos bajo el apodo de Kokain. Para infectar con éxito utilizando un kit de phishing, un atacante debe solicitar al usuario que haga clic en el enlace que conduce a la página generada por Mephistophilus. Independientemente del tema de la página de suplantación de identidad (phishing), aparece un mensaje que indica que necesita instalar el complemento que falta para visualizar correctamente un documento en línea o un video de YouTube. Para hacer esto, Mephistophilus tiene varios tipos de páginas de phishing que imitan servicios legítimos:

Visor de documentos en línea de Microsoft Office365 Word o Excel
Visor de PDF en línea
Página de clonación de YouTube

Lesionado

Como parte de la campaña de malware, el grupo criminal no se limitó a usar nombres de dominio auto registrados: los atacantes también usaron varios sitios de tiendas en línea que previamente habían sido infectados con el rastreador FakeSecurity para almacenar muestras de archivos maliciosos distribuidos.

En total, se encontraron 5 enlaces únicos a 5 muestras únicas de malware, 4 de los cuales se almacenaron en sitios pirateados que ejecutan CMS Magento:

hxxps: //www.healthcare4all [.] co [.] es / manuales / Adobe-Reader-PDF-Plugin-2.37.2.exe
hxxps: //www.genstattu [.] com / doc / Adobe-Reader-PDF-Plugin-2.31.4.exe
hxxps: // firstofbanks [.] com / file_d / Adobe-Reader-PDF-Plugin-2.35.8.exe
hxxp: // e-cig [.] com / doc / Adobe-Reader-PDF-Plugin-2.31.4.exe
hxxp: // thepinetree [.] net / docs / msw070619.exe

Las muestras de malware distribuidas en esta campaña son muestras del diseño Vidar diseñado para robar contraseñas de navegadores y algunas aplicaciones. También sabe cómo recopilar archivos de acuerdo con los parámetros especificados y transferirlos al panel administrativo, lo que facilita, por ejemplo, el robo de archivos de billetera de criptomonedas. Vidar presenta malware como servicio: todos los datos recopilados se transmiten a la puerta y luego se envían al panel de administración centralizado, donde cada comprador del styler puede ver los registros que provienen de las computadoras infectadas.

Ladrón capaz

Vidar Styler apareció en noviembre de 2018. Fue desarrollado y puesto a la venta en foros subterráneos por un usuario bajo el seudónimo Loadbaks. Según la descripción del desarrollador, Vidar puede robar contraseñas de los navegadores, archivos por ciertas rutas y máscaras, datos de tarjetas bancarias, archivos de billetera fría, correspondencia de Telegram y Skype, así como el historial de navegación de sitios. El precio de alquiler del styler es de $ 250 a $ 300 por mes. El panel de administración del styler y los dominios utilizados como puertas están ubicados en los servidores de los autores Vidar, lo que reduce los costos de infraestructura para los clientes.

En el caso del archivo malicioso msw070619.exe , además de propagarse utilizando la página de inicio de Mephistophilus, también se detectó un archivo DOC malicioso BankStatement0040918404.doc (MD5: 1b8a824074b414419ac10f5ded847ef1) , que dejó caer este archivo ejecutable al disco usando macros. El archivo DOC BankStatement0040918404.doc DOC se adjuntó como un archivo adjunto a correos electrónicos maliciosos, cuya distribución fue parte de una campaña maliciosa.

Preparar el ataque

La carta detectada (MD5: 53554192ca888cccbb5747e71825facd) se envió a la dirección de contacto del sitio que ejecuta CMS Magento, de donde se puede concluir que los administradores de las tiendas en línea eran uno de los objetivos de la campaña maliciosa, y el propósito de la infección era acceder al Magento y a otros paneles de administración de comercio electrónico. -plataformas para la instalación posterior de un sniffer y robo de datos de clientes de tiendas infectadas.

Por lo tanto, el esquema de infección en su conjunto consistió en los siguientes pasos:

Los atacantes desplegaron el panel administrativo del Mephistophilus Phishing Kit en el host alloaypparel [.] Com .
Los atacantes colocaron malware de robo de contraseñas maliciosas en sitios legítimos pirateados y en sus propios sitios.
Utilizando un kit de phishing, los atacantes implementaron varias páginas de destino para la distribución de malware, así como crearon documentos maliciosos con macros que descargaron malware en la computadora de un usuario.
Los atacantes realizaron una campaña de spam para enviar cartas con archivos adjuntos maliciosos, así como con enlaces a páginas de destino para instalar malware. Al menos parte de los objetivos del atacante son los administradores de los sitios de las tiendas en línea.
Cuando la computadora del administrador se vio comprometida con éxito, las credenciales robadas se usaron para acceder al panel administrativo de la tienda e instalar el JS-sniffer para robar tarjetas bancarias de usuarios que realizan pagos en el sitio infectado.

Enlace a otros ataques

La infraestructura de ataque se implementó en un servidor con la dirección IP 200.63.40.2, que pertenece al servicio de alquiler de servidores Com de Panamaservers [.] . Antes de la campaña FakeSecurity, este servidor se usaba para phishing, así como para alojar paneles administrativos de varios programas maliciosos para robar contraseñas.

Basado en los detalles de la campaña FakeSecurity, se puede suponer que los paneles administrativos de los estilistas Lokibot y AZORUlt ubicados en este servidor podrían usarse en ataques anteriores del mismo grupo en enero de 2019. Según este artículo , el 14 de enero de 2019, atacantes desconocidos distribuyeron malware Lokibot enviando correos masivos con un archivo DOC malicioso en un archivo adjunto. El 18 de enero de 2019, también se realizó una lista de correo de documentos maliciosos que instalaron el malware AZORUlt. El análisis de esta campaña reveló los siguientes paneles administrativos ubicados en el servidor con la dirección IP 200.63.40.2:

http [:] // chuxagama [.] com / web-get / Panel / five / PvqDq929BSx_A_D_M1n_a.php (Lokibot)
http [:] // umbra-diego [.] com / wp / Panel / five / PvqDq929BSx_A_D_M1n_a.php (Lokibot)
http [:] // chuxagama [.] com / web-get / Panel / five / index.php (AZORUlt)

Los nombres de dominio chuxagama [.] Com y umbra-diego [.] Com fueron registrados por el mismo usuario con la dirección de correo electrónico dicksonfletcher@gmail.com. La misma dirección se utilizó para registrar el nombre de dominio worldcourrierservices [.] Com en mayo de 2016, que luego se utilizó como sitio para la empresa fraudulenta World Courier Service.

Basado en el hecho de que, como parte de la campaña de malware FakeSecurity, los atacantes usaron malware para robar contraseñas y lo distribuyeron por correo electrónico no deseado, y también usaron un servidor con una dirección IP de 200.63.40.2, se puede suponer que se realizó una campaña maliciosa en enero de 2019 El mismo grupo criminal.

Indicadores

Nombre de archivo Adobe-Reader-PDF-Plugin-2.37.2.exe

MD5 3ec1ac0be981ce6d3f83f4a776e37622
SHA-1 346d580ecb4ace858d71213808f4c75341a945c1
SHA-256 6ec8b7ce6c9858755964f94acdf618773275589024e2b66583e3634127b7e32c
Talla 615984

Nombre de archivo Adobe-Reader-PDF-Plugin-2.31.4.exe

MD5 58476e1923de46cd4b8bee4cdeed0911
SHA-1 aafa9885b8b686092b003ebbd9aaf8e604eea3a6
SHA-256 15abc3f55703b89ff381880a10138591c6214dee7cc978b7040dd8b1e6f96297
Talla 578048

Nombre de archivo Adobe-Reader-PDF-Plugin-2.35.8.exe

MD5 286096c7e3452aad4acdc9baf897fd0c
SHA-1 26d71553098b5c92b55e49db85c719f5bb366513
SHA-256 af04334369878408898a223e63ec50e1434c512bc21d919769c97964492fee19
Tamaño 1069056