Phishing a usuarios de Orkut, Caixa Federal y Bradesco

Escrito el 26 febrero 2009, 04:04pm en Phishing

Tagged with: , , , , , , , , , , , ,

WebAir es una empresa de web hosting que, si bien cumple con las “tres B” (Bueno, Bonito, Barato) se queda muy atrás en lo que concierne a seguridad de sus servidores. Es por eso que no es raro escuchar a sus usuarios quejarse de haber sido “hackeados” o que sus sitios ahora se encuentran propagando malware (virus) o están siendo utilizados en algún tipo de estafa online.

Yuu, un amigo que aloja sus sitios y algunos de sus clientes, se encontró un día con que un grupo de jóvenes brasileros estaban usando uno de sus dominios para robar información de usuarios de Orkut y los bancos Caixa Econômica Federal y Bradesco.

Los atacantes modificaron los archivos index (php, html, etc.) agregando una porción de código Javascript que intenta explotar la vulnerabilidad en Microsoft Data Access Components (MDAC) y descargar un troyano empaquetado con Themida. Agregaron además, tres carpetas con archivos que simulan ser la pagina de Orkut (red social MUY popular en Brasil), Caixa Federal, Bradesco y algunas herramientas en PHP (c99shell, r57, etc.) comúnmente utilizadas para cometer este tipo de travesuras. En todos estos casos los usuarios fueron redirigidos a dichas webs haciendo uso del SPAM.

Phishing en Orkut

Phishing Orkut

El robo de datos de Orkut se cometia invitando al usuario a visitar una comunidad de “TOP | Gatos e Gatas | VIP” (gente bonita :P). Una vez ingresados los datos en la web falsa, los mismos eran enviados a una casilla de correo de Gmail y a posteriori se redireccionaba al usuario a la comunidad antes mencionada.

[source:php]// Configuracao de variaveis:
$mailto = “e noisxx”;
$mailtoaddr = “so.alegriass@gmail.com”;
$subject = “/”;
$redirectpage = “http://www.orkut.com/Community.aspx?cmm=5554597”;[/source]

Phishing Caixa Econômica Federal

Phishing Caixa Economica Federal

Para este banco el usuario es llevado hacia una copia de la web del banco en donde el único enlace funcional es el de la imagen que nos permite acceder a la banca en línea, obviamente también parte de la misma treta.

Phishing Caixa Economica Federal - Login

Los datos obtenidos son almacenados en archivos en texto plano cuyo nombre se corresponde con la fecha y hora del ingreso de la víctima.

[source:php]$today = date(“d-M-Y-H-i-s”);
$myFile = “../arquivos/” . $today.”.txt”;[/source]

Pphishing Caixa Economica Federal - Datos de Usuario

Esta información es enviada además via email a la dirección dos casillas de correo de Gmail luego redirecciona a una página de error.

[source:php]$para = “so.alegriass@gmail.com, rcricardonb1@gmail.com”;
$assunto = “CaixaNew [ “. $ip_usuario. ” ] “;[/source]

Phishing Bradesco

Phishing Bradesco

La otra entidad bancaria afectada es Bradesco, en este caso el ataque va mucho mas allá debido a que no solo solicita la información de acceso a la banca sino también los datos completos de la tarjeta de coordenadas necesaria para realizar operaciones en línea con este banco.

Phishing Bradesco - Tarjeta Coordenadas

Una vez completados los datos son guardados y enviados por correo como en el caso anterior de Caixa Federal.
[source:php]$today = date(“d-M-Y-H-i-s”);
$myFile = “../arquivos/” . $today.”.txt”;[/source]

Phishing Bradesco - Tarjeta coordenadas - Datos de usuario

[source:php]$para = “so.alegriass@gmail.com”;
$assunto = “XDEXCO – “. $ip_usuario. ” – “. $today;
$boundary = strtotime(‘NOW’);
$headers = “From: XDESCO \r\n”;
$headers .= “De: XDESCO \r\n”;
$headers .= “To: $para <$para>\r\n”;[/source]

Las entidades han sido informadas ya para que tomen las medidas que crean necesarias. Uno de los correos utilizados en estos scripts me llevo a lo que sería un posible perfil del atacante en Orkut (¿qué brasilero no tiene Orkut 😛 ?), de todas maneras no es nada seguro, pero a juzgar por los comentarios dejados por algunas personas este individuo también tiene la costumbre de distribuir malware a sus contactos como supuestos cheaters o bots para juegos.

Posible autor de los ataques de phishing

Comments (1)

Los comentarios están cerrados para este artículo.