Scam de PayPal en Colombia: anatomía del robo de información

Share this…

En nuestro Laboratorio de Investigación y educación de ESET Latinoamérica recibimos constantemente amenazas reportadas por usuarios, socios e investigadores -desde códigos maliciosos y direcciones URL con contenidos maliciosos o phishing hasta campañas de robo de información, de usuarios y contraseñas o incluso información bancaria. En esta entrada veremos la anatomía de uno de estos casos mediante scams, en un sitio vulnerado con dominio .edu.co proveniente de Colombia.
Se trata del sitio web de un gimnasio colombiano que fue comprometido a través de alguna vulnerabilidad, lo cual le permitió al atacante insertar contenido. A continuación veremos una captura de pantalla del sitio en cuestión (se preserva la identidad del mismo para su protección).

¿Cómo un equipo vulnerado puede verse involucrado en actividades ilícitas?

El atacante cuenta con un portal donde, con solo registrarse, obtiene acceso a los scams listos para utilizarse para robar información. Estos falsos sitios se encuentran alojados en otro que ya ha vulnerado previamente.
Mediante una vulnerabilidad encontrada en dicho sitio (por motivos legales, no podemos verificar cuál) se logró insertar contenido en una sección. Este contenido es, efectivamente, un scam, que en este caso roba usuarios y contraseñas de PayPal.

En el sitio se solicitan las credenciales tal como se haría en una plataforma legítima; pero si se mira detenidamente la dirección URL, vemos que no cuenta con HTTPS para que la información viaje cifrada y nadie pueda interceptarla, mientras que los menús del sitio son imágenes estáticas. Esta información viaja en texto plano, por lo que cualquier atacante que intercepte las conexiones podría leerla con un sniffer.

Scam de PayPal en Colombia
Scam de PayPal en Colombia

Podemos apreciar que se utilizó un usuario y una contraseña al azar, obteniendo como resultado el siguiente paso del engaño (la siguiente instrucción). Al no interactuar con el sitio ni la base de datos reales de PayPal (ya que se trata de un clon), el falso sitio se comportará como si los datos ingresados fueran válidos.
Un dato que nos llamó poderosamente la atención mientras se llevaba a cabo este análisis es que la información robada es enviada a otro sitio; este aparece en las dos primeras líneas de la captura anterior, POST y Host.
Dicho sitio permite al atacante hacer uso de los portales clonados, ya que se trata de un panel de scams administrados vía web. Veamos un poco más en qué consiste todo esto en la siguiente captura de pantalla.

Con la sola creación de una cuenta gratuita, es posible acceder a engaños de diferentes plataformas como Facebook, Instagram, Habbo y PayPal, entre otras (como se marca en el recuadro A). Estos sitios falsos son asociados a la cuenta creada, por lo que solo resta que las víctimas accedan y coloquen su usuario y contraseña.
En el recuadro B vemos que cuatro víctimas cayeron en la trampa; estas no son más que pruebas que realizamos para comprender su funcionamiento, por lo que no son afectados reales.

La información que presenta es muy clara, ordenada en columnas; puede verse el nombre del scam (PayPal en este caso), mientras que en otras dos columnas se listan los usuarios y contraseñas, facilitándole al atacante la lectura de la información.
El análisis no se termina aquí, ya que cierta información no encajaba, como la dirección URL donde estaban alojados los diferentes sitios falsos. Al acceder a cualquiera de estos, es notable que no se encuentran alojados en el mismo servidor donde se encuentra el panel de administración de víctimas.
En realidad, estos clones se encuentran alojados en otro sitio comprometido, que pertenece a una empresa dedicada al transporte, mudanzas y relocalizaciones proveniente de Dubai.

Si bien la empresa vulnerada se encuentra en Dubai, los scams (precisamente el de PayPal) se está utilizando en Colombia. Esto nos demuestra que estamos ante un caso de alcance internacional.
Con el objetivo de proteger la identidad de la compañía, se ofuscaron las direcciones. Sin embargo, navegando en uno de sus directorios, encontramos un mensaje que dejó el atacante.

Este seudónimo, naturalmente, es el mismo que fue utilizado por la persona que creó el portal de scams.
Si bien no queda definido cuál es el vector de ataque utilizado, debe tenerse en cuenta que el enlace podría ser enviado por correo electrónico, por mensajería instantánea (aunque sería mucho más notable) o por qué no, una víctima podría derivar en la trampa mediante la redirección desde otro sitio, por ejemplo.
Es fundamental entonces estar atentos y alertas cuando se accede a este tipo de servicios, a detalles como la dirección URL. Siempre que el sitio requiera información como usuario y contraseña, o cualquier tipo de información sensible, debe contar con HTTPS.
Por otra parte, es muy importante contar con una solución de seguridad instalada y actualizada constantemente, que protegerá proactivamente de este tipo de trampas que buscan robar información sensible.

Fuente:https://www.welivesecurity.com/