Revisando los correos que llegan a SPAM, en ocasiones te puedes llevar más de una sorpresa. Sin ir más lejos, ayer 17 de Agosto recibí un correo con el alarmante asunto Apple: Your account has been frozen, que más o menos venía a decir que mi cuenta de Apple había sido congelada a la espera de que confirmase algunos datos:
 |
| Spam supuestamente de Apple para reactivación de cuenta de iTunes |
Analizando el mensaje original, incluyendo las cabeceras del correo, podemos comprobar como se utilizó un script PHP de envío de correo a través de internet, el cual se encuentra en la siguiente ruta (reflejada por completo en la cabecera X-PHP-Script:
 |
| Extracto de las cabeceras del e-mail |
Como veréis en la segunda linea de la imagen, la cabecera X-PHP-Script contiene la ruta completa al fichero temp.php dentro del dominio every-tickets.com (que seguramente fuese comprometido previamente para contener este tipo de scripts de envío de correos de forma anónima):
 |
| Script PHP de envío de correos anónimos a través de un servidor online posiblemente comprometido |
Atendiendo ya al contenido del e-mail, éste contiene un enlace que llevaba a la siguiente URL:
en la cual apreciaréis que es similar a la simulada del servicio iTunes Connect de Apple que originalmente se encuentra en la siguiente URL:
Accediendo al phishing, ya directamente solicita el CVV de la tarjeta de crédito además del Apple ID y la contraseña...
 |
| Diferencia entre el portal original y la copia phishing de iTunes Connect |
Analizando el código fuente del html de phishing, buscamos la acción del formulario al hacer click en "Sign in", detectando un fichero php llamado:
+ myserviceson.com/applllle/WebObjects/emsg1.php
el cual si accedemos directamente a él (petición GET), se nos muestra un formulario para introducir todos los datos posibles de la cuenta (que obviamente, incluye todo lo referente a tarjetas de crédito, códigos de seguridad, datos personales, etc) al redirigirse a un html llamado details.html:
 |
| Formulario de solicitud de datos completos del usuario (paso 2 del proceso) |
De nuevo, analizamos el código fuente para obtener un nuevo recurso que actuará de acción para el formulario al introducirse los datos, llegando a un nuevo php en:
+ myserviceson.com/applllle/WebObjects/tabli8.php
Al acceder a este por GET de nuevo, se muestra un error típico de PHP, ya que obviamente este PHP no se pensó para ser llamado directamente, si no tras completar el formulario y hacer click en enviar los datos:
 |
| Aviso mostrado por el fichero php al no ser ejecutado correctamente a través del flujo original |
Recapitulando hasta aquí, disponemos de los siguientes recursos típicos que está utilizando este phishing:
- Dominio myserviceson.com
- applllle/WebObjects/
- applllle/WebObjects/emsg1.php
- applllle/WebObjects/tabli8.php
Una vez hemos hecho esta recopilación, procedemos a buscar información a través de google referente tanto al dominio, como a estos ficheros PHP y rutas concretas, para determinar si pudiera encontrarse en más servidores o si ya se hubiera reportado previamente un phishing de estas características pero alojado en otros sistemas. Al realizar la búsqueda en Google, mediante site: sobre el dominio afectado, nos encontramos como en la caché de Google se encuentra un antiguo listado de directorios, en los que vemos dos ficheros de texto: ID.txt y Full.txt, el directorio applllle y el php temp.php:
 |
| Búsqueda en Google relacionada con el dominio dónde se encuentra el phishing |
- El fichero temp.php (que ya no está presente), podría corresponder con el script de envío de correos mencionado anteriormente en el análisis de las cabeceras del e-mail.
- El fichero ID.txt, presente en el servidor, parece registrar la información referente al primer formulario de login que ya solicitaba el CVV
- El fichero Full.txt, presente en el servidor, parece registrar la información referente al segundo formulario de registro de datos completos.
Debido a que durante la investigación no se llegó a realizar ningún envío a través del formulario, pero si se accedieron a los PHP directamente (emsg1.php y tabli8.php), quizás fuera lo que provocó la creación y registro de los intentos (aún sin incluir datos) de acceso a los formularios, y serían los ficheros que almacenarían toda la información de las víctimas que picasen en este phishing.
Por desgracia, este phishing finalmente si que fue utilizando en anteriores ocasiones (durante los últimos días, y con gran éxito de recogida de información) y estuvo alojado en otros hostings que ya fueron denunciados como que se utilizaban para estos menesteres. Lo peor de todo es que aún todavía a día de hoy, se pueden encontrar ficheros ID.txt y Full.txt con multitud de datos sensibles de usuarios (víctimas) que llegaron a cumplimentar tanto el primer formulario como el segundo....
2 comments :
Muy bien explicado y procedimentado paso a paso. Ya estoy deseando que me llegue un phising así para desgranarlo.
Un saludo!
hxxp://every-tickets.com/temp.php aun sigue presente, posibemente el delincuente tenga una shell en el sitio
Publicar un comentario