Falsa promoción de CFE por el día del padre

 

Un usuario nos hizo llegar un correo electrónico, el cual mostraba un mensaje de parte de la CFE con una supuesta promoción del 30% de descuento en el pago del recibo, adicionalmente contenía un link de descarga para el archivo “cfe.exe”.

Se descargó la muestra para su análisis, su apariencia es llamativa al usuario por el color  y el logotipo de Windows.

 

El proceso que se levanta tras su ejecución es cfe.exe y solo está activo por un par de segundos.

 

No se detectó actividad de red, pero sí hubo modificación en el sistema archivos. Con la herramienta Regshot se identificó que fue modificado el archivo hosts, ubicado en la ruta: “C:\WINDOWS\system32\drivers\etc”, siendo blanco de ataque el banco Santander en México.

El archivo hosts relaciona direcciones IP con dominios en Internet, es el primer método de consulta DNS que utiliza el Sistema Operativo para intentar resolver un dominio, lo que significa que si la víctima de este malware accede desde su navegador (por cualquiera de de las formas que se muestran a continuación) al banco Santander, será redireccionado hacia un sitio malicioso.

 

Se realizó una prueba de concepto para ejemplificar la redirección que se hace con el archivo hosts comprometido:

 

-       Portal de Santander con el archivo hosts NO modificado.

 

 

-       Portal de Santander con el archivo hosts modificado por el malware.

 

 

El sitio phishing captura los datos de las víctimas de la siguiente manera:

 

1.- Solicita el Código de Cliente y NIP. Pero a diferencia del sitio legítimo de Santander, este sitio no valida los datos que se ingresan y en lugar de mandar el mensaje de Clave incorrecta despliega otra ventana.

 

 

2.- Esta nueva ventana despliega un mensaje donde hace una recomendación de seguridad sobre el manejo de contraseñas y el uso de sitios públicos para acceder a su cuenta. Se procedió a introducir información arbitraria en los campos con el fin de continuar con la investigación.

 

 

3.- La ventana que se muestra a continuación solicita información para obtener estadísticas sobre el uso de la Banca en línea, además de un número telefónico para confirmar y reactivar el servicio.

 

 

4.- Finalmente despliega un mensaje avisando al usuario que los datos fueron enviados correctamente y que en breve recibirá una llamada del ejecutivo de seguridad para la reactivación del supuesto servicio.

 

 

La información que se recolecta en el formulario mostrado anteriormente es enviada desde el equipo infectado hasta el sitio malicioso donde se almacenan todos los datos de las víctimas.

 

 

Posteriormente nos dimos a la terea de revisar el sitio al cual se envían los datos capturados. El sitio se encontraba activo, la página principal solicitaba un usuario y una contraseña.

 

 

Es muy probable que el sitio web también estuviese almacenado nombres de usuario y contraseñas de nuevas víctimas debido a que, al introducir cualquier combinación de credenciales (datos válidos para nombres), no manda error de autenticación. Ya que el sitio usa un certificado para tener una comunicación segura mediante el protocolo https, la información que maneja viaja cifrada y no puede revisarse con más detalle.

 

 

En el servicioVirusTotal, ninguno de sus 42 motores de antivirus lo detectan como malicioso.

 

 

Finalmente nos dimos a la tarea de localizar los dos sitios maliciosos:

 

-       La  muestra de malware cfe.exe se encuentra alojada en un servidor de Argentina:

 

 

-       El sitio de phishing a donde las víctimas serán redirigidas al ingresar al banco Santander de México se localiza en el Reino Unido:

 

 

Como recomendación, es importante que al leer un correo electrónico o descargar programas de Internet, usemos el sentido común para que no seamos víctimas de este tipo de fraudes, es muy sospechoso que algún programa o sitio en Internet solicite información confidencial, desconfía de cualquiera que lo haga. 

Una buena práctica es la revisión del archivo hosts, el cual no debe tener ninguna línea que relacione una dirección IP con un dominio de Internet, ya que algunos tipos de malware modifican este archivo para bloquear las actualizaciones de Windows Update o el acceso a las páginas web de los fabricantes de software antivirus dejando a las computadoras desprotegidas ante otras amenazas. También es conveniente que el archivo hosts esté configurado bajo el permiso de solo lectura o usar la configuración del antivirus para protegerlo.

 

-       Revisión del archivo hosts en Windows 7:

 

A continuación se muestra el contenido del archivo hosts con la configuración predeterminada en las versiones de los Sistemas Operativos Windows 7, se puede abrir con el Bloc de notas para su edición.

 

 

Una vez identificado el contenido predeterminado del archivo hosts, debemos asegurarnos que no contenga líneas extras, así como sucedió en el análisis de nuestra muestra de malware. Una técnica muy usada por atacantes es que al archivo hosts se le agregan direcciones IP y dominios de Internet mucho más abajo en el archivo para que no sean visibles a simple vista.

Para proteger el archivo hosts contra escritura debemos hacerle clic con el botón derecho, seleccionar la opción Propiedades, dirigirnos a la pestaña Seguridad y seleccionar el botón de Opciones avanzadas. En esta nueva ventana debemos ubicarnos en la pestaña Permisos y seleccionar el botón Cambiar permisos… y nos aparecerá una ventana como la que se muestra a continuación.

 

 

Para realizar la prueba de concepto hemos seleccionado un usuario que tiene permisos de Control total. Posteriormente seleccionamos el botón Editar… y cambiamos los permisos, como se muestra a continuación, para que el archivo hosts quede protegido contra escritura.

 

 

 

-       Revisión del archivo hosts en Windows XP:

A continuación se muestra el contenido del archivo hosts con la configuración predeterminada en las versiones de los Sistemas Operativos Windows XP, se puede abrir con el Bloc de notas para su edición.

 

 

Una vez identificado el contenido predeterminado del archivo hosts, debemos asegurarnos que no contenga líneas extras.

 

Para proteger el archivo hosts contra escritura debemos hacerle clic con el botón derecho, seleccionar la opción Propiedades, en la pestaña General seleccionar la casilla Sólo lectura y aceptamos el cambio.

 

Con esta acción, el archivo queda protegido contra intentos de modificación por parte de aplicaciones maliciosas.