Español | English
rss facebook linkedin Twitter

Sobre phishings en la nube y el robo a un ladrón

Desde Imperva nos cuentan que han descubierto un kit de phishing muy especial. A diferencia de los kits que vienen apareciendo desde hace años, este promete incluir una serie de características muy interesantes:

  • ¡No es necesario saber PHP ni HTML!
  • ¡Fácil, rápido, limpio y compacto!
  • Permite suplantar 16 importantes webs con calidad "profesional"
  • ¡La notificación de nuevas víctimas es muy rápida!
  • No necesita instalación (Portable)
  • Funciona en: Windows XP / Vista / Windows 7
  • Incluye un pequeño servidor FTP integrado
  • Proporciona una herramienta de "limpieza" (en caso de que desee eliminar rastros sobre usted o sus víctimas)
Una de las características más interesantes de este nuevo tipo de kits es la posibilidad de utilizarlos sin necesidad de instalar nada. Esto se consigue gracias a que, tanto el backend, como el código encargado de la recolección de información robada, están alojados en la nube, y en caso de cierre de la página de phishing, basta con volver a colgar dicha página en otro servidor para que todo vuelva a "funcionar".

Sin embargo, lo que es más curioso de este kit concreto, es el hecho de que, sus programadores -que colgaron el kit en foros de hacking- incluyeron una pequeña backdoor en el programa cuyo propósito no era otro que el de enviar los datos robados por las distintas "instalaciones" a su propio servidor, consiguiendo de esta forma, y con un esfuerzo mínimo, un volumen de credenciales robadas bastante superior al que hubieran conseguido si hubieran sido ellos mismos los que hubieran montado los phishings.

Por supuesto, para que no fuese demasiado "cantoso", y por qué no, quizás también como una forma de demostrar un cierto agradecimiento a sus incautos colaboradores, un pequeño porcentaje de las credenciales robadas se enviaban también a los usuarios del kit para compensarles por el duro trabajo realizado montando los phishings para beneficio de los "colegas" ;)

Con la idea de trastear un poco con el kit, me bajé una copia y, para mi sorpresa, ¡llevaba la friolera de 213.000 descargas!:


Al descomprimir el programa para la instalación nos encontrábamos con un banner publicitario en el que se comentaban las características del software:


Como no tenía un Windows a mano, hago un inciso para comentar que el programa se instala bastante bien en Linux con Wine (al menos, con la versión 1.0.1 que es la que viene en Lenny) y solamente me hizo falta descargar la librería msvbvm60.dll para poder ejecutarlo.

Con la idea de documentar un poco el proceso, durante la instalación aproveché para hacer algunas capturas de pantalla:
En la última captura, ya con el kit en ejecución, se puede apreciar una ventana en la que se pueden elegir esas 16 páginas (bastante conocidas, por cierto) que el programa permite falsificar:


Está claro que en este mundo de la ciberdelincuencia se puede aplicar perfectamente aquello de que "el que no corre, vuela" y, por supuesto, hay que andarse con mucho ojo si uno no quiere que "se la den con queso" ;)

Fernando Braquehais
S21sec e-crime





Publicado por en 23:01
Etiquetas:

1 comentarios:

Anónimo dijo...

Con backdoor te refieres al
reenvió de las credenciales del form a http://my-cool-site.99k.org/login.php ???
Si es así, vaya m..... de backdoor, ya han deshabilitado el site en Zymic

29/07/10 13:27

Publicar un comentario en la entrada

Suscribirse a: Enviar comentarios (Atom)

(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2012 - Todos los derechos reservados


login