Los phishing suelen estar alojados en páginas legítimas comprometidas, normalmente en algún directorio interno de la web. La estructura suele ser:
http://www.XXXXX.ZZ/XXXX/s/(banco)
Habiendo encontrado dominios de Rusia, Brasil y .ORG. Donde "banco" representa el código de la entidad afectada. Hasta 35 por dirección. Todas españolas.
Las entidades a las que pretende simular son:
Bancaja, Banca March, Bankinter, Bankoanet, BBK, BBVANet, Banco Guipuzcoano, Caixa Catalunya, Caixanova, Caja España, CajaMadrid, CajaMurcia, CajaSur, Caja Mediterraneo, Caja Canarias, Caja Castilla La Mancha, Caja Navarra, Deutsche Bank, Caixa Geral, Banco Herrero, IberCaja, ING Direct, Kutxa, Caixa d’Estalvis Laietana, Caixa Ontinyent, OpenBank, Caja Rural, Banco Sabadell, Solbank, Caixa Tarragona, Unicaja, Banco Urquijo, VitalNet.
En estos momentos al menos un servidor sigue activo y casi toda su infraestructura (donde se aloja el malware) también. Se recomienda no seguir ningún enlace, ni aunque se conozca que se trata de un phishing y se pretenda simplemente reportar el incidente, además de actualizar el sistema y el antivirus.
El ataque está fuertemente ofuscado, con JavaScripts cifrados que intentan descargar y ejecutar diferentes binarios en una especie de laberinto de redirecciones. Hemos encontrado hasta 6 ejecutables distintos, todo malware bancario destinado a Windows, y con muy diferentes niveles de detección en VirusTotal según el archivo. De una forma bastante agresiva, el ataque parece intentar aprovechar vulnerabilidades del navegador para la ejecución de código.
Informaremos en profundidad sobre el ataque cuando tengamos más detalles al respecto.
Sergio de los Santos
Noticias Hispasec
http://www.hispasec.com
