Cazando a un phisher

El día de hoy me ha llegado un correo electrónico de un banco muy conocido en México. En el mismo se leía que alguien me había hecho una transferencia a favor por mas de $100,000 MXN (algo así como $8,200 dólares estadounidenses).

Puesto que la cuenta que tengo en ese banco está más abandonada que la tienda del ISSSTE de Indios Verdes y que el correo traía un link que dirigía a un supuesto documento de Word, supuse de inmediato que se trataba de un correo phishing.

Tras enviar un tuit al banco en cuestión alertando del intento de estafa, decidí analizar el mismo a ver qué tanto encontraba; para después enviar un correo detallado a una dirección que me dio el banco (supongo que ha de ser el correo de sus malware-analysts, si es que tienen).

//platform.twitter.com/widgets.js

Esto es lo que encontré:

El correo dice venir de notificaciones@banamex.com.mx, aunque quien realmente lo envía es cmarrufo@sportfitness.mx a través de hyperserver.techila.com.

La parte del mensaje que nos interesa

La parte del mensaje que nos interesa

El correo muestra un mensaje en formato HTML diciendo que hay una transferencia a favor, pero la misma se encuentra retenida. También se muestra un link con un supuesto documento que tiene los detalles de la retención e instrucciones para encontrar una solución a al brevedad.

Correo Phishing

Correo Phishing

Si el usuario hace clic en el enlace (que dice ser de bancanetempresarial) será enviado a la página mcdany.com/img/imagenes.html que descarga un archivo de Microsoft Word llamado Retencion_Banamex.doc

El truco es que este archivo de Word contiene macros. Como sabemos, las macros de VBA para Word contienen una Sub reservada llamada Workbook_Open() que, si el nivel de seguridad lo permite, se ejecuta cuando abrimos el documento.

Un breve análisis del código nos permite saber que lo único relevante que hace dicha macro es descargar otro archivo desde seguros-seguros.com.mx/test/logo.gif, lo guarda en %AppData%\Word.exe y lo ejecuta.

Analizando el código

Analizando el código

El archivo descargado es un PE (Portable Ejecutable) de 409,600 bytes de tamaño (400 Kbi) escrito -al parecer- en Visual C++. En el binario del archivo se muestran los siguientes mensajes:

  • Compañia: DevPointer Inc
  • Descripción del archivo: Captivating Run Exiting
  • Versión: 3.5.7.3

Por último me puse a buscar en los dominios involucrados (mcdany.com y seguros-seguros.com.mx); obtuve nombres y teléfonos de quienes registraron los dominios:

WHOIS para mcdany.com

pi@raspberrypi ~/Desktop $ whois mcdany.com
Whois Server Version 2.0
Domain names in the .com and .net domains can now be registered
with many different competing registrars. Go to http://www.internic.net
for detailed information.
Domain Name: MCDANY.COM
Registrar: ONLINENIC, INC.
Sponsoring Registrar IANA ID: 82
Whois Server: whois.onlinenic.com
Referral URL: http://www.OnlineNIC.com
Name Server: NS19.SIPANSERVER.COM
Name Server: NS20.SIPANSERVER.COM
Status: clientTransferProhibited http://www.icann.org/epp#clientTransferProhibited
Updated Date: 01-oct-2015
Creation Date: 01-oct-2015
Expiration Date: 01-oct-2016
The Registry database contains ONLY .COM, .NET, .EDU domains and
Registrars.
Domain Name: mcdany.com
Registry Domain ID:
Registrar WHOIS Server: whois.onlinenic.com
Registrar URL: http://www.onlinenic.com
Updated Date: 2015-10-01T16:26:48.0Z
Creation Date: 2015-10-01T04:00:00.0Z
Registrar Registration Expiration Date: 2016-10-01T04:00:00.0Z
Registrar: Onlinenic Inc
Registrar IANA ID: 82
Registry Registrant ID:
Registrant Name: Raul Ramirez
Registrant Organization: Jose Raul Ramirez Terrazas
Registrant Street: Prisciliano Elizondo No. 1XXX
Registrant City: Monterrey
Registrant State/Province: Nuevo Leon
Registrant Postal Code: 64560
Registrant Country: MX
Registrant Phone: +52.8115134XXX
Registrant Phone Ext:
Registrant Fax: +52.8115134XXX
Registrant Fax Ext:
Registrant Email: info@mdefectivo.com
Registry Admin ID:
Admin Name: Raul Ramirez
Admin Organization: Jose Raul Ramirez Terrazas
Admin Street: Prisciliano Elizondo No. 1XXX
Admin City: Monterrey
Admin State/Province: Nuevo Leon
Admin Postal Code: 64560
Admin Country: MX
Admin Phone: +52.8115134XXX
Admin Phone Ext:
Admin Fax: +52.8115134XXX
Admin Fax Ext:
Admin Email: info@mdefectivo.com
Registry Tech ID:
Tech Name: Raul Ramirez
Tech Organization: Jose Raul Ramirez Terrazas
Tech Street: Prisciliano Elizondo No. 1XXX
Tech City: Monterrey
Tech State/Province: Nuevo Leon
Tech Postal Code: 64560
Tech Country: MX
Tech Phone: +52.8115134XXX
Tech Phone Ext:
Tech Fax: +52.8115134XXX
Tech Fax Ext:
Tech Email: info@mdefectivo.com
Name Server: ns19.sipanserver.com
Name Server: ns20.sipanserver.com

WHOIS para seguros-seguros.com.mx

pi@raspberrypi ~/Desktop $ whois seguros-seguros.com.mx
Domain Name: seguros-seguros.com.mx
Created On: 2008-06-30
Expiration Date: 2017-06-29
Last Updated On: 2015-05-15
Registrar: Interplanet S.A de C.V.
URL: http://www.suempresa.com
Registrant:
Name: Centro de Apoyo Tecnologico, S.A. de C.V.
City: CIUDAD DE MEXICO
State: Distrito Federal
Country: Mexico
Administrative Contact:
Name: Fernando Rivera Galvan
City: CIUDAD DE MEXICO
State: Distrito Federal
Country: Mexico
Technical Contact:
Name: Fernando Rivera Galvan
City: CIUDAD DE MEXICO
State: Distrito Federal
Country: Mexico
Billing Contact:
Name: Interplanet
City: Mexico
State: Distrito Federal
Country: Mexico
Name Servers:
DNS: ns1.nocws4.com
DNS: ns2.nocws4.com

Finalmente envié el archivo Word.exe a Kaspersky para que ellos hagan un análisis profesional.

 

Anuncios

5 comentarios en “Cazando a un phisher

  1. Barlovento dijo:

    sigue haciendo de las suyas. ahora esta enviando supuestos recibos de cfe para que entren a pagar, y deja sus links de supuestos acceso a bancomer, y otros bancos, que castigo se merecen este tipo de personas.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s