Viernes, Mayo 18, 2012
   
TEXT_SIZE
Iniciar sesión
Lunes, 13 de Febrero de 2012 12:06

Eliminación Infraestructura Phishing Bankinter Featured

Escrito por Miguel A. de Castro
Rate this item
(1 Votar)
Eliminación Infraestructura Phishing Bankinter

Tras la publicación en nuestra web hace unos dias del aviso de un correo Phishing de Bankinter, los investigadores Miguel Ángel de Castro y Pedro Guillén. procedimos a su destrucción para evitar que mas personas siguiesen enviando sus datos bancarios al conocido banker Thund3rC4sH. Dias atras publicamos un video del proceso de destrucción de toda la infraestructura creada por este mismo ciberdelincuente para el envio de mail phishing del banco santander. En ambas ocasiones  se aprovecho de viejas debilidades conocidas en Frontpage para atacar los diferentes servidores que ha usado para el envio de mails para phishing asi como para la recepción de los datos robados a los clientes.

Pueden verse en las siguientes capturas el proceso realizado para que los ciberdelincuentes no sigan aprovechando
estos fallos para crear sus infraestructuras maliciosas.

El trabajo realizado para la destrucción de la infraestructura se basa en:

1. Obtención de la ip del servidor de correo (Podemos encontrarla en las cabeceras del correo).

alt

alt


2. Descarga del ejecutable para su analisis y rastreo de ip de conexión en el momento del envio  de los datos robados (Para este proceso se cuenta con un sniffer y un software de analisis de procesos como sysanalicer). El binario descargado te indica que introduzcas tus credenciales de acceso al portal y que rellenes todos los datos de la tarjeta de seguridad (UN BANCO JAMAS TE PEDIRÁ ESTO!!)

alt


3. Una vez que tenemos ambas ip, se analizan fallos de seguridad en los servidores para acceder a ellos y poder eliminar el codigo malicioso. Como se ha comentado, en este caso se han atacado las extensiones frontpage, realizando inyecciones por post a los elementos de la estructura de webfolders adecuados. Estas inyecciones nos permiten entre otras cosas listar archivos y editarlos. Con estas funcionalidades localizamos las shells subidas por el ciberdelincuente y tomamos contrlde ellas para su eliminación.

alt


4. Despues de salvar algunas mejoras que ha realizado el ciberdelincuente codificando sus herramientas para que no podamos tener acceso a las credenciales de acceso, se accede y se examina el codigo que envia finalmente las credenciales a una cuenta gmail.

alt

alt


5. Accedemos al correo Gmail, cambiamos contraseña, borramos datos y denunciamos cuenta.
alt


Last modified on Lunes, 13 de Febrero de 2012 14:39
Read 2494 times Like this? Tweet it to your followers!
Published in Seguridad/Inseguridad Informática
Tagged under
Social sharing
Miguel A. de Castro

Miguel A. de Castro

Related items (by tag)

More in this category: « Rooteo de un servidor infectado con botnet a traves de vulnerabildiad BSQL
back to top

Programacion e infraestructura web orientada a seguridad

Hacking Etico Web, Analisis explotacion y contramedidas

Curso Securizacion y blindado de entornos web

Lo más Leido

Destacados

Etiquetas

almeria analista auditoria banco botnet certificacion consultoria curso curso online curso seguridad exploit formacion formación online formación online seguridad hack hacker hack etico hack web lfi maquinas voto master Metasploit nova informatica packman phishing SEGURIDAD seguridad informatica virus vulnerabilidad web

Seguridad Informática

  • Productos Seguridad Informática
  • Noticias Seguridad Informática
  • Formación: Cursos y manuales Seguridad Informática

Web, Hosting y Posicionamiento

  • Desarrollo y diseño Web, Cms, Tienda Online
  • Planes alojamiento Hosting
  • Posicionamiento, SEO y Alta en buscadores
Suscripción RSS
Noticias Seguridad informática, tutoriales, exploits, formación

Login