Si bien este post comenzó siendo el análisis de una campaña más de phishing (que inclusive fue desactivada durante la investigación), el dato curioso y particular de esta campaña dirigida a Chile es la forma en que los ciberdelincuentes buscan persistir al cambiar, no solo el mensaje enviado, sino el dominio al que intentan redireccionar a las posibles víctimas.

Este caso llegó al laboratorio de ESET Latinoamérica el lunes 22 de julio por la tarde, a través de un correo en el cual se indicaba que el servicio de transferencias bancarias se encontraba suspendido por un problema en el registro del correo.

Correo inicial que indica que la cuenta ha sido suspendida.

Pero, al momento de acceder al enlace, lo primero que surgió fue la necesidad de utilizar un proxy chileno. De lo contrario, se mostraba un mensaje de error de permisos.

Con un proxy activo logramos acceder a un domino similar al dominio legítimo del banco cuya identidad fue suplantada, pero alojado en un servicio de hosting de Brasil que informaba que el dominio había sido suspendido.

Con no mucho más que analizar en esta instancia, y para sorpresa de la investigación, en el día de ayer llegó al laboratorio un segundo correo, supuestamente de la misma entidad bancaria, en el que se le informaba al cliente que sería necesario una actualización de las claves registradas.

Segundo correo en el que se recomienda al cliente actualizar las claves de acceso a su cuenta.

En esta oportunidad, y verificando que se trata de la misma dirección a través de un sitio finlandés aparentemente vulnerado, y con la necesidad de utilizar un proxy que nos geolocalice en Chile, accedemos a la siguiente página, en la cual se invita al usuario a identificarse.

Pantalla para acceder como persona o como empresa para llevar adelante la supuesta actualización de las claves de acceso.

Accediendo a través del enlace de “acceso a persona”, en caso de ingresar como número de RUT solamente el 1, el sistema informa rápidamente que los datos ingresados son incorrectos, lo que demuestra que programaron un validador de números de identificación tributaria.

Se ingresó solamente el valor 1 para ver si el sistema aceptaba cualquier dato como válido.

Respuesta del sistema si los datos ingresados no coinciden.

Algo que llamó mucho nuestra atención es que en caso de utilizar un número RUT válido generado al azar, el sistema lo reconoce, o al menos muestra el nombre de la persona que aparentemente necesita acceder a sus datos.

Esto nos da la pauta que a nivel del servidor se está chequeando la información ingresada con alguna base de acceso público. Además, solicita a la víctima que también ingrese la clave del cajero.

Solicitud del engaño para que la víctima confirme la clave del cajero.

Al confirmar la clave del cajero, el sistema luego de un supuesto proceso de verificación vuelve a mostrar que los datos ingresados son erróneos.

Sistema en un supuesto proceso de verificación.

Luego de analizar más en profundidad el tráfico de red utilizando BURP para auditar que pasa en la red, no detectamos redireccionamientos o verificaciones al sitio oficial del banco. Por lo tanto, es de suponer que el engaño guarda credenciales ingresadas en alguna base de datos local del ciberdelincuente.

Asimismo, tampoco detectamos que la campaña busque instalar algún software malicioso, además del robo de credenciales. En cuanto al análisis del servidor, verificamos que ambos dominios utilizados en la campaña fueron hosteados en el mismo servicio en Brasil.

Además, los dominios fueron registrados con un día de diferencia de la publicación de este post, con la particularidad de utilizar servicios de privacidad para ocultar todos los datos del registrante.

Todo esto muestra cuál es la estrategia de los responsables detrás de este ataque, que buscan maximizar la efectividad del mismo en su intento de lograr vulnerar los cuidados que pueden tener los usuarios a la hora de buscar, entre otras cosas, que el sitio sea seguro (no es este el caso), que el dominio tenga alguna referencia o una coherencia con el mensaje recibido; como en este caso.

Conclusión

Al igual que con cualquier campaña de phishing o ingeniería social, para no ser víctimas de este tipo de engaño o similar, es importante que los usuarios estén atentos a este tipo de mensajes y que antes de hacer clic revisen la URL que contiene el mensaje.

Otra recomendación es hacer una búsqueda en la web para ver si se encuentra información sobre este tipo de mensajes, ya sea en la página oficial o si alguien más reportó el engaño.

Noticias Relacionadas

Correos falsos imitan a Visa para robar datos de tarjetas de crédito2 min read Campaña de phishing activa suplanta identidad de conocida marca de tarjetas de crédito3 min read Cibercrimen: los 5 ataques más utilizados en 20185 min read Intento de ciberataque a Redbanc en Chile comenzó por una oferta laboral publicada en LinkedIn4 min read