Boletín 28 de Julio

Análisis de Campaña de Ingeniería Social

Nos han reportado en varias ocasiones esta campaña de Ingeniería Social, que procedemos a analizar.

Podemos comenzar definiendo la Ingeniería Social como un “conjunto de diferentes técnicas de manipulación que usan los ciberdelincuentes para obtener información confidencial de los usuarios”.

Por lo que son ataques que van muy dirigidos al usuario final, ya sea por Email, por SMS o por llamada entre otros. Aunque no son las únicas vías, en varias ocasiones hemos utilizado diferentes redes sociales con este objetivo, incluso aplicaciones de compra y venta. Aunque estos sean los vectores más comunes, no son los únicos, la Ingeniería Social suele ser muy creativa, lo que requiere que los usuarios estén muy bien capacitados.

Ataque por SMS con un enlace acortado

Como podemos ver más abajo, nos encontramos un clásico SMS con un enlace acortado, esto no nos permite ver el destino final, por lo que siempre es un riesgo hacer click. Tenemos varios servicios como Unshorten.it que nos permiten ver a que destino real nos lleva un enlace.

http://zvmby.com/n0jvshf 
#Enlace incluido en el SMS

En este caso, el enlace acortado zvmby…. nos lleva a posido….

https://posido.com/?mid=152769_1065209&fluid=461f17af-5f27-4a8c-97c1-cdfe815e59b0&clickid=n0jvshf#registration 
#Enlace real al que nos lleva al hacer clic

Visitamos desde nuestra máquina laboratorio esta URL, y podemos ver el gancho de esta estafa, básicamente consiste en que compartamos una serie de datos (email, teléfono, nombre y apellidos, etc) para poder obtener un cupón de hasta 500€.

La URL está limpia, incluso pasa los controles de análisis estático de VirusTotal.

Pero al profundizar más con un análisis dinámico, podemos ver alguna otra cuestión llamativa

Ambos análisis nos determinan los procesos y peticiones que hace la web, llama la atención la invocación del proceso cookie_exporter.exe, que es una funcionalidad que tienen los navegadores para exportar las cookies memorizadas, y por tanto utilizarla con la intención de robar sesiones iniciadas en el navegador.

Conclusión

Como vemos, un SMS inofensivo nos puede comprometer íntegramente nuestra organización. Incluso aunque nos parezca inofensivo y se salte algunos antivirus.

En estos casos lo adecuado es no abrir el enlace y reportarlo a los equipo IT o de Seguridad, para que puedan analizarlo con detalle.

SOC 24/7

Nuestro servicio de ciberSOC desarrolla una monitorización de seguridad sobre su infraestructura, detectando de manera temprana cualquier incidente de seguridad.

Auditorí­a de Seguridad

Nuestro equipo de RedTeam hace una evaluación de la seguridad de su organización, simulando un ciberataque externo, poniendo así a prueba a toda la organización.