ProtegeTuOrdenador.com

En la entrada anterior os hablé de una de las últimas técnicas de phishing para engañar a los usuarios de Google/Gmail.

Puesto que este tipo de técnicas atacan a los usuarios, muchas empresas están empezando a simular ataques de este tipo para concienciar a sus empleados de los peligros de este tipo de ataques.

Dejando a un lado lo controvertido de esta idea, existen empresas que ya ofrecen este tipo de servicios, como www.wombatsecurity.com/phishguru o www.phishlabs.com . Aunque también existen “toolkits” que nos permiten realizar esta tarea (por ejemplo “the Social Engineer Toolkit de Metasploit), estos generalmente eran algo complicados de poner en práctica, sobre todo para usuarios no iniciados. Sin embargo, hace algunos meses ha aparecido una nueva herramienta destinada a desarrollar esa labor de una forma extremadamente fácil: Simple Phishing Toolkit.

Según sus creadores, esta herramienta ha sido desarrollada para ayudar a las compañías a testear los conocimientos de phishing de sus empleados aunque, como otras herramientas, seguro que es usada por los ciberdelincuentes con fines maliciosos.

Simple Phishing Toolkit hace honor a su nombre y permite clonar cualquier web (como una Intranet corporativa o la página de login de cualquier correo web) con un simple click e incluye un creador de campañas de phishing muy fácil de usar.

Además, permite a los administradores conocer diversos parámetros como cuándo fue pinchado un link, cuántos usuarios responden o la dirección IP, navegador y sistema operativo del usuario. Por ahora, la herramienta no permite capturar datos introducidos en los formularios de las páginas falsas, aunque sus creadores se plantean introducir un add-on con esta funcionalidad en un futuro...

El Centro de Protección contra Malware de Microsoft (Microsoft Malware Protection Center) ha descubierto un nuevo Troyano que no contiene ninguna rutina sospechosa en su comportamiento inicial; esto lo hace indetectable frente a muchos escáners Antivirus.

El comportamiento normal de un troyano de este tipo es descargar un archivo de Internet, guardarlo en el disco y ejecutarlo, acciones que son fácilmente detectables por cualquier antivirus. Sin embargo, este nuevo troyano funciona de la siguiente forma:

Contiene un código en Visual Basic que accede a la web de un restaurante Tibetano; un análisis del código no muestra accesos a disco ni llamadas a funciones del sistema. Si no tenemos conexión a Internet, el malware muestra un mensaje de error. Si tenemos conexión a Internet, el troyano realiza una petición a la página HTML del restaurante citado anteriormente, se copia a sí mismo en la carpeta de sistema como "misys.exe" y empieza a realizar funciones de Keylogger.

¿De dónde procede ese ejecutable?

Mirando el código de la página HTML descargada se observan instrucciones en formato hexadecimal que se corresponden con funciones x86, así que lo que hace el troyano es ejecutar esas instrucciones en el contexto de su propio proceso. Esto no produce ninguna inyección de código en otros procesos o descargas al disco, por lo que el "downloader" se convierte en malware cuando descarga el código HMTL. Con esta forma de funcionamiento consigue evitar los análisis de muchos antivirus que no tengan análisis de comportamiento.

La mala noticia es que este tipo de troyanos si puede crear fácilmente a través del toolkit Poison Ivy, ya que esta herramienta nos permite crear código malicioso (binario, C, Phyton o Delphy) en lugar de ejecutables.