Información redirigida a Servidores Proxy maliciosos

El UNAM – CERT recibió en estos días, un reporte sobre un archivo malicioso que redirige la información de los usuarios infectados a un servidor Proxy con la finalidad de leer datos específicos y robar credenciales de sitios legítimos sin que el usuario lo note, por esta razón se inició la investigación para atender el caso.

Los archivos con extensión “PAC” (Proxy Auto-Config) definen si los navegadores Web utilizan o no un Servidor Proxy por medio de JavaScript haciendo uso de la función FinProxyForURL(url,host). Dicha función regresa, por cada URL visitada, la configuración de acceso, ya sea que el tráfico deba pasar por medio de un Proxy o viaje directamente hacia el equipo que se desee visitar.

El archivo PAC se encontraba ofuscado, generalmente los autores de malware tratan de ocultar sus verdaderas intenciones para que las víctimas no sospechen sobre acciones mal intencionadas. Por lo tanto, a través de ingeniería en inversa, des-ofuscamos dicho archivo, encontrando lo siguiente en claro:

-          Al inicio del archivo se declara la variable “n” que contiene un arreglo de la lista de sitios a los que está dirigido el ataque.

-          En la siguiente parte del código se encuentra el ciclo “for” que va recorriendo la lista de sitios objetivo y reemplaza cierta parte de la cadena, esto con el fin de reconstruir los sitios a atacar, ya que de esta forma, el código malicioso puede pasar desapercibido ante escaneos por patrones de sitios comúnmente atacados.

-          Después, se tiene la codificación para encontrar secuencias de caracteres. Por ejemplo, si en la lista de sitios definidos por el atacante se encuentra el patrón “caixa” la cadena queda igual, si se encuentra “hotmail” o “gmail” se les concatena “.com” y finalmente, para cualquier otra cadena, se completará con “.com.br”.

-          En la parte final del código se especifica el proxy que se va a usar cuando la víctima ingrese a algún sitio que coincida con los definidos por el atacante. Con return “DIRECT”; se especifica que cualquier otra dirección que se ingrese en el navegador y que no esté en la lista de sitios objetivo, se puede visitar sin pasar por el proxy.

Cuando la víctima hace una petición por medio de su navegador a una dirección de la lista definida por el atacante, el tráfico es dirigido al Servidor Proxy con la dirección IP 59.1XX.X.54 por el puerto 80 y quizá después llegue al sitio legítimo.

El ataque, para este caso, está dirigido a sitios bancarios brasileños, pero también encontramos que el ataque iba dirigido hacia sitios de gmail y hotmail.

Escenarios posibles:

1)      La víctima ingresa en su navegador una dirección que aparece en la lista del atacante:

Cuando la información pasa por el Servidor Proxy, el atacante podría modificarla, robar las credenciales, montar su propio sitio de phishing o simplemente no redireccionarla al sitio legítimo.

Hicimos una prueba de concepto con el sitio de Hotmail, accediendo sin el archivo PAC malicioso. 

Posteriormente, se procedió a cargar el archivo de configuración en Firefox y hacer la prueba.

En la captura podemos observar que tenemos la conexión establecida al sitio malicioso.

2)      La víctima ingresa en su navegador una dirección que no aparece en la lista del atacante:

Las direcciones que no figuran en el archivo PAC malicioso, son alcanzadas directamente sin pasar por el Servidor Proxy.

Al ingresar a la dirección IP del Servidor Proxy en el navegador, algunas soluciones antivirus mandan una advertencia de seguridad debido a que el sitio es malicioso.

Posteriormente se desbloqueó el sitio para poder entrar pero nos redirecciona a otro portal.

La dirección IP del Servidor Proxy se encuentra en la India y para cuando se redacto el análisis, el sitio aun se mantenía en línea.