Equipos son vulnerados para alojar archivos de configuración maliciosos

El UNAM – CERT recibió un reporte sobre el alojamiento de un archivo malicioso en un servidor en México, por lo tanto se comenzó con la investigación con respecto a este caso.

Se descargó el sitio completo para tratar de encontrar alguna pista más, aparte del archivo sospechoso, sin embargo, no encontramos ninguna pista además de la reportada. Un fragmento del archivo 4.pac se muestra a continuación:

En el inicio del archivo de configuración declaran la variable “show” la cual contiene la cadena PROXY seguida por la dirección IP a donde se encontraba dirigiendo el tráfico por el puerto 80.

La dirección IP se encuentra registrada en la ciudad de Dallas EU, para verificar si el ataque estaba siendo exitoso para el autor, comprobamos la configuración en un navegador del equipo en el laboratorio, para esto abrimos la página del sitio de gobierno comprometido para la descarga del archivo y posterior configuración.

La extensión PAC significa Proxy Auto-Config, este archivo define el cómo los navegadores web o algunos otros agentes automáticamente seleccionan algún servidor proxy. Los archivos PAC contienen código en JavaScript con la función FindProxyForURL(url, host), esta función regresa una cadena con uno o más configuraciones de métodos de acceso. Estas configuraciones hacen que el agente elija algún servidor proxy en específico o se conecte directamente. Lo que el autor de este archivo de configuración está haciendo es verificar la URL que visita la víctima y la compara con los sitios que está atacando, si coincide con alguno de ellos entonces regresa la cadena de la variable ‘show’ que se mencionó con anterioridad para que el flujo de información pase por el proxy.

Por medio del Add-on de firefox, FoxyProxy se cargó el archivo de configuración con éxito y se probó con diferentes sitios atacados para verificar que el tráfico de información se estaba pasando por el servidor proxy.