Phishing a Hotmail y otros sitios mediante archivos con extensión PAC

El UNAM-CERT recibió un reporte sobre un archivo supuestamente malicioso.  El archivo se trataba de la Configuración Automática de un Proxy, un archivo con extensión "PAC", este ha sido tema de algunas publicaciones anteriores en este blog, como la del pasado 5 de junio del 2012.

 
En primera instancia, el código se encontraba ofuscado como se muestra a continuación.
 
 
 
Después de haber evaluado el argumento de la función "eval()", se mostró el siguiente código:
 
 
 
Del código anterior, se extrajo la lista de sitios web objetivo, con ayuda de la función XOR aplicada entre la cadena ofuscada y la llave con valor de 29.
 
 
 
Este tipo de archivos, con extensión PAC, se usan para redirigir a los usuarios infectados a sitios maliciosos, los cuales se encuentran definidos en el script y que posiblemente sean sitios phishing alojados en el Servidor Proxy.
 
Una vez que los atacantes han creado el archivo malicioso de configuración automática para proxy y  tienen activos los sitios phishing en su servidor, requieren que el malware sea usado. Una opción para esto, es propagar otro malware que automáticamente modifique la configuración de los navegadores.
 
Por lo anterior se procedió a realizar una prueba de concepto (PoC) en la cual se creó un archivo ejecutable con el nombre "Config_Navegadores.exe", el cual, al ejecutarse en un entorno controlado, podía modificar automáticamente la configuración de los navegadores Internet Explorer, Mozilla Firefox y Google Chrome para hacerlos cargar el archivo con extensión PAC, alojado en un servidor en la red, como se muestra continuación.
 
 
          - Internet Explorer
 
 
 
 
          - Google Chrome
 
 
 
 
          - Mozilla Firefox
 
 
 
Al ingresar a uno de los sitios que figuraba en la lista del script por medio de una computadora que no estuviera comprometida con dicha configuración, se obtiene una conexión legítima al sitio oficial.
 
 
 
 
 
Al ingresar desde un equipo infectado al sitio www.hotmail.com, el navegador muestra una conexión al Servidor Proxy que lleva a un sitio phishing.
 
 
 
 
Al continuar con la visita a varios sitios más de la lista de objetivos, se encontró que algunos de ellos no mostraban nada a pesar de la espera, esto posiblemente a causa de que los sitios phishing estaban siendo actualizados en el Servidor Proxy o ya no se encontraban activos.
 
Finalmente como recomendación a todos los usuarios, se recomienda que revisen de manera periódica la configuración de todos sus navegadores, los cuales no deben tener habilitada la opción de "configuración automática"  ni alguna "dirección URL" que haga referencia a un archivo con extensión PAC. En caso de tener cargada una configuración no deseada en el navegador, basta con borrar la cadena de la URL y dejar deshabilitadas todas las opciones en el caso de Internet Explorer y Google Chrome o seleccionar la opción "Sin proxy" en Mozilla Firefox.
 
 
Enviado por jbanfi el Mié, 08/15/2012 - 13:30