Supuestas postales de Gusanito.com "explotan" vulnerabilidad de routers 2wire

El día de ayer recibimos un correo en el cual se notificaba una supuesta postal del sitio Gusanito.com que podía ser “vista” desde cualquiera de los enlaces que contenía, siempre y cuando se tuviera instalado en el equipo el JRE de java.

 

Al seguir cualquier de los enlaces del correo, el usuario era redirigido hacia el documento 756.html ubicado dentro de un dominio en Argentina.

 



http://<dominioComprometido>/cache/esp/tarjetas/postales/te_extrano/postal_te_extrano/756/756.htm

 

Si en el equipo no se encontraba el Java Runtime Environment, el navegador mostraba un mensaje indicando qué plug-ins adicionales eran necesarios para mostrar todo el contenido de la página. Este plug-in correspondía al JRE.

 

Otro tipo de advertencia que mostraba el navegador al ingresar al sitio anterior, se muestra en la siguiente imagen. En este caso, en un equipo Windows XP sin el JRE, se desplegó el siguiente mensaje, pero al monitorear su actividad, éste no realizó algo sospechoso.

 



Por otro lado, en un equipo con el JRE instalado, el comportamiento fue diferente. En un primer momento, la página empieza a cargar y el icono de java aparece en la barra de tareas, junto a la hora del sistema. Posteriormente, ninguna actividad aparente se detecta.

 

El hecho de que el icono de java aparezca en la barra de tareas, es porque código en java ha sido ejecutado por el navegador y generalmente es a través de Applets, es decir, programas escritos en este lenguaje que pueden ser incrustados en documentos html.

 

Por esta razón decidimos buscar en el código de la página alguna etiqueta <applet> o algún otro elemento que contenga esta etiqueta. En una publicación anterior de este blog, Applets maliciosos que propagan malware, identificamos que está etiqueta se encontraba ofuscada en etiquetas de JavaScript, dentro del código de la página. Sin embargo, en este caso no identificamos algo parecido.

 

Debido a que el código del sitio estaba un poco “desordenado”, lo acomodamos de tal manera que fuera más fácil leerlo e identifacamos dos etiquetas Iframe que cargaban los Scripts pharming.php y Start.php

 

 

Se descargó el script pharming.php y al revisarlo, su contenido fue el siguiente:

 



Un documento html con una etiqueta <applet>, en la cual se ejecutaba el archivo AdobeFlashPlayer.class y dentro de ésta, una etiqueta <param> con código que al parecer realiza un pharming local en el equipo de la víctima. Se modificó el archivo pharming.php original y se sustituyó la dirección IP del ataque, por el texto ((DIR IP)), para mostrarse en este análisis.

Lo interesante de estos programas es que son ejecutados en “ambientes” separados del navegador, para prevenir que accedan a archivos o datos del sistema, citando al artículo de Wikipedia, tanto en su versión en inglés como en español, acerca de los applets de Java, tenemos: 

 



  • Entre sus características podemos mencionar un esquema de seguridad que permite que los applets que se ejecutan en el equipo no tengan acceso a partes sensibles (por ej. no pueden escribir archivos), a menos que uno mismo le dé los permisos necesarios en el sistema” <http://es.wikipedia.org/wiki/Applet_Java>



Por esta razón, es difícil creer que el código del script pharming.php pueda tener algún efecto en el archivo de hosts del sistema. Además, es todavía más intrigante e interesante que no haya aparecido algún tipo de advertencia del navegador cuando este script se ejecutó al cargar la página.

Para nuestra sorpresa, al verificar el archivos de hosts, se comprobó que fue modificado por el applet.

 



Para verificar cómo es que lleva a cabo la ejecución del código dentro de la etiqueta <param>, descargamos el archivo AdobeFlashPlayer.class desde el mismo sitio de dónde se descargó el script pharming.php, lo decompilamos y pudimos observar que a través del método getParameter(), obtiene el valor del parámetro “first” del applet y que corresponde al código que va a llevar a cabo la modificación del archivo de hosts.

Una vez que ha obtenido dicho valor, lo asigna a la variable “s” y la ejecuta través del Runtime instalado en el equipo.

Durante la segunda parte de este ataque, se carga el script Start.php, el cual es responsable de explotar una vulnerabilidad en los routers 2wire de Telmex. Existen varios sitios en la red en donde se ha documentado acerca de estos ataques, a continuación se presentan algunos enlaces con información al respecto:

 



 

A continuación, se presenta el contenido del script Start.php, el cual está formado por varias etiquetas iframe. En la primer línea se puede observar que carga el script UpdatePassword.php y posteriormente, carga el script AddDns.php con diferentes valores (del 0 al 35) para la variable “id”. En la imagen sólo se muestran los primeros 20.

 

Al cargar el script UpdatePassword.php, éste se encarga de modificar la contraseña del dispositivo para poder llevar a cabo modificaciones posteriores. Su contenido es el siguiente:

 

Una vez que se ha modificado la contraseña de acceso al router, cada una de las llamadas al script AddDns.php, del las etiquetas iframe subsecuentes, se encargan de realizar el pharming sobre el dispositivo. En la siguiente imagen se presentan algunas líneas con las que se lleva a cabo el ataque.

 

De este modo, el ataque de pharming se lleva a cabo tanto de forma local (modificación del archivo de host), como a nivel del router. Si el usuario no tiene instalado el JRE no va a ser afectado de manera local, pero existe la posibilidad de que tenga un router 2wire y por lo tanto, también será víctima de este ataque.

Al momento de realizar el análisis, los sitios de phishing estaban activos y en la URL se pudo observar que todos los sitios estaban alojados sobre la carpeta _private del servidor.

Comentarios

Muy interesante! Felicidades digan asi!..

Pablo S.

Hola, yo recibi la carta del gusanito, abri la postal, osea, la ejecute no la guarde en mi disco duro. La pregunta es, Este virus me manda a otra pagina (clon) de hotmail cuando pongo la direccion en mi navegador. esta ruta que supongo la insetaron en mi pc, se puede eliminar de alguna forma?, para poder volver a usar Facebook y Hotmail que en mi computadora estan inhabilitados. Muy interesante la nota.

Que tal...

Antes que todo, me gustaría aclarar que no todas las postales de Gusanito son maliciosas. En el caso específico de este análisis, se trató de una página web a través de la cual podía ser ejecutado código en java para hacer un ataque de pharming (modificación de la resolución DNS) local o a nivel de router en el equipo de la víctima. Ahora bien, si este fue el caso, lo más probable es que se haya llevado a cabo la modificación del archivo de hosts y/o de la configuración DNS en el módem que da la salida a internet.

Para comprobar si el archivo de hosts  del equipo fue alterado (pharming local) deberás dirigirte a C:\Windows\System32\drivers\etc y abrir el archivo "hosts" con bloc de notas o Wordpad. En la 7a imagen de este análisis puedes ver un archivo de hosts modificado por esta página maliciosa. Deberás eliminar todo lo que este debajo de la línea que empieza con: "127.0.0.1       localhost"; posteriormente, guardar los cambios y cerrar el editor de texto. La modificación del archivo del hosts del equipo, es un ataque muy común y puede resolverse, en parte, de la manera aquí descrita.

Por otro lado, también se lleva a cabo un ataque de pharming a nivel de router. Si tu proveedor de servicios de Internet es Telmex y tienes un modem 2wire lo más probable es que la configuración de tu modem haya sido modificada. Quizá lo más fácil sea que te pongas en contacto con ellos para que te ayuden a verificar dicha configuración.

Aclarando las cosas, no se trata de que hayan insertado las páginas falsas en tu equipo, si no que a través del ataque de pharming sufres una redirección (en el navegador) a la página falsa.

Si esto no es suficiente, sería necesario que nos enviaras la página web o enlace desde donde abriste la postal de gusanito, para analizar con más detalle su comportamiento. Puedes hacerlo a malware@seguridad.unam.mx.

Por último, es importante que cambies tus contraseñas de acceso a tus cuentas, ya que es posible que hayan sido comprometidas.

Saludos