TL;DR
Encontramos 22 IPs que tenían sitios configurados para enviar correos masivos (mailers) para una campaña de phishing en Chile.
En la sección de Indicadores de Compromiso (IOC) tenemos la lista completa de las IP / URI que encontramos, y ya se gestionaron con el hosting para su limpieza.
Agradecemos al hosting involucrado por su rápida actuación en la limpieza (48 horas), da mucho gusto poder confiar en la acción oportuna ante una notificación.
Introducción
Según lo que hemos revisado en el último tiempo, hay algunas campañas de phishing que en Chile son siempre iguales. No sabemos si es que son muy efectivas o los que están detrás de estas campañas están un poco cansados de desarrollar nuevas campañas.
Por ejemplo, hay muchos correos que son de phishing que siempre comienzan con un ✔, que hablan de algún bono o algo similar. Yo ya me aburrí de ver ese tipo de correos, pero…
¿Será que siempre funcionan? ¿De verdad?
Si es que eres parte de una empresa grande o que usa correo en la nube (Google o Microsoft o equivalente), probablemente no has tenido problemas, pero si no, te puedes haber dado cuenta que hay campañas muy seguidas, todas las semanas con algún correo similar.
Hace algún tiempo habíamos contado que los correos en general pueden tener información interesante en los encabezados, por ejemplo encabezados como estos:
X-PHP-Originating-Script: 0:power2.phpo si tienes suerte algo como esto:
X-PHP-Script: covid19.minsante.cm/mm.php for 200.25.2.9¿Y esto, qué significa?
Significa que estos correos fueron enviados a través de scripts PHP, que en este caso se llama power2.php o mm.php. Además, existe mucha información, por ejemplo, con el encabezado X-PHP-Script tenemos la dirección completa del script en covid19.minsante.cm/mm.php o en el encabezado X-PHP-Originating-Script tenemos que el usuario que lo ejecuta es el id 0 (el usuario root), por lo que uno puede asumir que es “dueño” (ya sea legal o ilegalmente) de esa máquina.
¿Y con esto qué se puede hacer?
Nosotros hicimos una revisión de algunos sitios que envían este tipo de correos, y hay muchos que son muy similares. De hecho si es que revisamos la dirección de origen de este script encontramos varios tienen algo como esto:
Este script, lo habíamos visto antes, de hecho en varias campañas anteriores, y se nos hace muy conocido. Si vemos en el título del sitio aparece el título “Mailer_2019-DugRlZ”. Es muy parecido a uno que habíamos visto antes como “Mailer_2015” o “Mailer by Sphinx”, de hecho habíamos recopilado algunas muestras y tenemos muchas similaridades, por ejemplo:
- Tiene ciertos campos definidos bastante “memorables”, con los mismos ordenes de campos “Email”, “Nombre” “Asunto” y los campos para el texto (cuerpo) del correo y de destinatarios del correo.
- Tiene siempre el mismo nombre interno del botón de “Enviar”, el cual es poco común:
<input type=”submit” name=”Enoc” value=”Enviar”>
Es un mailer que probablemente lo desarrollaron el 2012 o anteriormente, porque encontramos varias copias de este tipo de scripts en muchos sitios, por ejemplo:
| Fecha Aproximada | URL de Archivo Fuente |
| 2012/07/06 | https://pastebin.com/R2RmYUZn |
| 2015 | https://www.unphp.net/decode/377d1873eb2520de688cbc805beb5ccb/ |
| 2015 | http://zaic101.ru/files/1614/power2.php |
| 2018/11/06 | https://pastebin.com/BDbdEQwg |
Lo “más interesante” es que este código tiene una funcionalidad de “File Upload” incluído, ya que si colocas un parámetro GET en particular (sec=yess) en la llamada del sitio te aparece una sección que antes no estaba, que solo se usa para subir archivos.
Lo más probable es que esto era parte del código antiguo del mailer y no lo han modificado.
Las campañas actuales mantienen la funcionalidad en el código PHP, pero tienen protegida la subida de archivos con otro método, probablemente a nivel de permisos de archivo en el servidor web, por lo que cualquier intento de subir archivo aparece con error.
Buscando más orígenes
Al revisar muchos de estos códigos, y muchos de estos correos comenzamos a buscar por este patrón para encontrar más mailers que estén activos al día de hoy, ¿cómo lo hicimos?
Como se usa a través de una web, muchas veces está visible sencillamente a través de la IP + el nombre del script PHP, entonces nos pusimos en búsqueda de este tipo de patrones y encontramos un total de 22 IP, las cuales tienen activos al día de hoy estos “servicios” con potencial envío de e-mail masivos.
Estos scripts tienen distintos nombres, pero interesantemente muestran el mismo HTML, y tienen hasta los mismos valores “por defecto” en cada uno de los campos, los mismos correos, el mismo asunto, etc.
Podemos identificar un patrón de ataque, para juntarlos todos como parte de la misma intención de phishing, pero no tenemos tantos datos para poder saber si es que son la “misma banda” o todos los correos enviados son exactamente los mismos.
Notificamos de esta anomalía al hosting que está detrás de estas IP el 05 de diciembre, y tuvimos una acción muy rápida por parte de ellos ya que en 48 horas habían gestionado la limpieza de todos estos mailers.
Conclusiones
Tenemos campañas activas al día de hoy que siguen mandando correos con textos distintos (probablemente), pero repitiendo muchos otros patrones, como las IP de envío y los scripts para enviarlos.
Tenemos que bloquear estos orígenes conocidos (aunque sea por un rato).
Tenemos que notificar al notar este tipo de conductas a la comunidad y a los hostings involucrados, para que sepamos como prevenir un ruido que es probablemente innecesario.
Indicadores de Compromiso (IOC)
Las IPs ya fueron gestionadas y en el momento de publicación de este artículo están limpias.
FINSIN 
Deje un comentario