Ataque phising + web exploit usando falsos correos de whasapp.

Buenas noches lectores, pues la vedad el día de hoy no tenia pensado escribir nada, mas bien esta estudiando cuando de repente me dio por limpiar un poco la basura de mis cuentas de correo, cuando de repente…

BAAAAMMMM!!!!

threat

Ahí estaba un correo de certeros colores diciéndome que había recibido una nota de voz por Whatsapp…

La verdad es que se ve muy autentico y quzas hubiese funcionado con algún usuario promedio que no repara en riesgos y que solo hubiese atinado a decir:

“Ahora me mandan las notas de voz a mi correo, que eficiente se han puesto los de whatsapp”

Pero en mi caso no fue tan sencillo, ya que simplemente copie el enlace al que redirigía el famoso botón de “autoplay” y lo copie en un .txt con el fin de averiguar que tan elaborado iba este ataque, quizás algunos piensen pero cl0udswx, para que copiar el enlace si al visitarlo te vas a exponer y mi respuesta es que yo les quiero tanto que prefiero exponerme yo a que sean expuestos ustedes (esa es la versión políticamente correcta) la verdad es que tengo una maquina virtual para estas cosas, desde puedo probar enlaces, ejecutables y todo en un ambiente controlado (sandbox, firewall, IPS, y esas cosas).

Así que salte a mi maquina virtual y abrí el navegador mas odiado por todos Internet Explorer (a veces necesitamos cosas vulnerables para probar vulnerabilidades) pegue mi enlace y voila!!

Farmacia canadiense con dominios de Rumania?

Farmacia canadiense con dominios de Rumania?

Ummm… No es nada… Apaguen las alarmas…

En serio?

Noooo!!!

Es muy curioso que una pagina para vender medicinas por parte de una farmacia online canadiense tenga un dominio de Rumanía, no se a ustedes pero a mi me parece muy raro, asi que tome el CMD de Windows y lance un:

netsat -a

Para ver como iban las cosas con las peticiones y las conexiones TCP, y mi sorpresa fue aun mayor cuando encontré esto:

netstatY que son todas peticiones http desde mi maquina hacia ese extraño servidor? generalmente los puertos de origen son aleatorios en una petición http, pero si se realizan de forma sucesivamente rapida estos se suceden en cierto orden, como podemos ver están todos en el rango de los 1200 y de 65000 puertos TCP no es nada aleatorio que estén dentro de ese rango.

Y de repente me llego la imagen sublime de un ataque web exploit, en el que se nos hace visitar una pagina infectada para aprovecharse de algún exploit en nuestro navegador, algún plugin obsoleto también les vendría bien (desde cuando no actualizas el java?), quizas alguna vulnerabilidad en el flashplayer (desde cuando no actualizas tu flashplayer?).

Un ataque sencillo que por estadística sigue enganchando a los usuarios y que por tales motivos los sitios web en combinación con malos hábitos de navegación siguen siendo uno de los mayores vectores de infección, aquí les comparto algunas medidas que les ayudaran a protegerse.

  • Rápidos con la mente, lentos con el dedo. Significa pensar bien las cosas antes de aceptarlas y visitar sitios de dudosa procedencia.
  • Usa tu navegador como todo un experto en seguridad, algunos diran pero como “C#ñ$!!” hago eso, pues resulta que puedes desactivar JAVA y flashplayer para navegar y solo activarlo en caso de que alguna aplicación así lo requiera (y te preguntara asi que recuerda la regla numero 1).
  • Mantén tu software actualizado, sonara repetitivo pero es así.
  • Usa alguna suite de software que tenga antivirus, anti-malware, protección contra phishing y spam, actualizaciones en segundo plano, etc.. Yo suelo recomendar 360 Security.

Eso es todo por ahora amigos, y como les dije, la verdad no tenia pensado escribir pero me gusto tanto la notificación falsa de los chicos de whatsapp que al final no me resistí.

Saludos.

“Recorded Future” el ojo que espia tus conversaciones en Facebook.

Tenemos que admitir que la privacidad y la seguridad de nuestras conversaciones tienen un “antes” y un “después” de Snowden, ese ex-analista de la NSA que nos mostró la delicada linea en la que se cruzan la seguridad de las naciones con la privacidad de los usuarios, desde entonces nada ha sido igual, los que alardeaban de una privacidad en sus servicios pasaron a ser mas cuidadosos, los que de por si ya eras desconfiados con la “privacidad” en la red nos convertimos en paranoicos de la criptografia.

Pues resulta que los chicos de Bosnadev estaban testeando una App y la misma se enviaba a través de enlaces mediante mensajes de chat en FB y como todos sabemos los enlaces son verificados antes de ser enviados al destinatario, lo extraño específicamente es el log de conexiones de la misma:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
13.04.2015 22:05:01 2a03:2880:3010:3ff4:face:b00c:0:1
13.04.2015 22:05:02 2a03:2880:3010:3ff6:face:b00c:0:1
13.04.2015 22:05:02 2a03:2880:3010:3ff3:face:b00c:0:1
13.04.2015 22:05:03 2a03:2880:2020:8ff0:face:b00c:0:1
13.04.2015 22:05:03 2a03:2880:2020:8ff2:face:b00c:0:1
13.04.2015 22:05:24 2a03:2880:2020:8ff4:face:b00c:0:1
13.04.2015 22:05:29 2a03:2880:20:3ff1:face:b00c:0:1
13.04.2015 22:05:31 2a03:2880:20:5ff4:face:b00c:0:1
13.04.2015 22:05:32 2a03:2880:20:cff6:face:b00c:0:1
13.04.2015 22:07:58 2a03:2880:11:2ff9:face:b00c:0:8000
13.04.2015 22:07:58 2a03:2880:2130:7ff2:face:b00c:0:1
13.04.2015 22:08:05 2a03:2880:3010:3ff2:face:b00c:0:1
13.04.2015 22:08:06 2a03:2880:3010:3ff5:face:b00c:0:1
13.04.2015 22:08:06 2a03:2880:3010:3ff7:face:b00c:0:1
13.04.2015 22:08:07 2a03:2880:3010:7ff6:face:b00c:0:1
13.04.2015 22:08:42 2a03:2880:20:4ff2:face:b00c:0:1

Desde mi punto de vista son demasiadas direcciones IPv6 para un simple chequeo.

Luego forzaron la creación de un registro de rastreo en IPv4 para una URL recién creada, lo hicieron enviándola por por el chat de facebook y leyendo el log de la URL y el resultado fue conexiones a servidores de nada mas que “Recorded Future” una empresa financiada por Google y por CIA.

En un articulo de Alex Fitzpatrick para Mashable se habla que la compañía se vale de un software que escanea las conversaciones en busca de “Keywords” para generar reportes a sus Sponsors.

Cuando enviamos un enlace usando el chat de Facebook este se busca en los motores de búsqueda y si no esta compartido públicamente entonces se analiza, “solo se analiza lo que nunca ha sido publicado”, en defensa a los resultados ellos simplemente dicen:

…our patented Web Intelligence Engine continuously analyzes the open Web…

Hay que resaltar que el software de vigilancia pone mas énfasis en usuarios que comparten enlaces en los que no existe una relación previa entre perfiles, asi como buscar ciertas frases y patrones de comportamiento encontrados en los records de cybercriminales incluso depredadores sexuales,lo cual me tranquiliza un poco mas, ya que no me están espiando, están cuidándome, preocupándose por mi.

Esto nos lleva a pensar que el mismo miedo de estar inseguros y ser blancos de un ataque no esta llevando al borde de la red, donde estamos dispuesto a sacrificar nuestra privacidad por recibir una pseudo-protección.

Esto es todo por ahora distinguidos lectores, si te gusto mi articulo comparte y ayúdame a llegar a mas personas.

Lectura recomendada:

https://bosnadev.com/

http://mashable.com/2012/07/12/facebook-scanning-chats/