Menú principal

jueves, 9 de junio de 2016

Campañas de phishing dirigidas a usuarios de Apple #Phishing #Apple

La empresa FireEye ha encontrado campañas de phishing dirigidas a los usuarios de Apple, entendiendo como objetivo la cuenta de iCloud de los usuarios. En las campañas se utilizaban dominios falsos. La empresa ha informado que desde Enero de este año, varias campañas de phishing se han dirigido a los usuarios de Apple con el objetivo de robar el Apple ID, generalmente en Reino Unido y China. Cualquier persona que tenga un Apple ID podrá acceder a la información del usuario, así como a sus datos.  FireEye explica que ha utilizado un sistema automático que detecta phishing y dominios potencialmente maliciosos.

Este sistema fue el que observó y registró estos dominios maliciosos de phishing. Estos dominios falsos de Apple estuvieron involucrados en los ataques de phishing contra los usuarios de iCloud en China y Reino Unido. En el blog de FireEye se puede ver el estudio y análisis que hicieron de la investigación y detección. La campaña que trata la gente de FireEye es la de Zycode. El phishing se denomina zycode debido al valor de una variable incrustada en el código Javascript. A continuación se muestra un listado de dominios maliciosos detectados por FireEye, los cuales, ninguno, apunta a la infraestructura de Apple

Figura 1: Dominios maliciosos

La lista de dominios muestra que los atacantes están intentado imitar los sitios web legítimos relacionados con iTunes, iCloud y Apple ID. La mayoría de los dominios aparecieron como una interfaz de inicio de sesión de Apple ID, iTunes e iCloud. Los dominios estaban altamente ofuscados con Javascript, el cual estaba creando el contenido HTML suplantando la identidad de Apple en el sitio web. Esta técnica es eficaz contra los sistemas antiphishing, los cuales se basan en el contenido HTML.

Generalmente, las imágenes que imitan a una marca o la forma de recoger las credenciales robadas son rasgos claros que hacen que un phishing pueda ser detectado. En estos casos el Javascript apoya al atacante para ofuscar la respuesta y no revelar su verdadera intención al no ser ejecutada dentro de un navegador web o de un emulador de Javascript.

Figura 2: Código ofuscado

Esta cadena codificada strHTML pasa por una secuencia compleja de funciones, alrededor de las 23 de descifrado o decodificación. Las funciones incluyen conversiones de sistemas numéricos, modificadores de patrones pseudo-aleatorios seguidos de decodificación XOR con llave fija o contraseña "zycode". Los sistemas antiphishing que se basan únicamente en el HTML no detectarán el código generado utilizando esta técnica. Una vez cargado en el navegador web, el Javascript ofuscado crea una página de phishing de iCloud.

Figura 3: BurpSuite
En la imagen se puede visualizar el usuario y contraseña interceptada ocn BurpSuite, tras todo el proceso de ofuscación de código y generación de web. La noticia es importante, aunque seguramente este tipo de campañas se sigan replicando a lo largo del mundo. Los usuarios deben estar concienciados y disponer de unos conocimientos mínimos de seguridad a la hora de navegar y utilizar sus identidades digitales. Usar verificación en dos pasos en AppleID es algo fundamental, con el que mejorar exponencialmente la seguridad de nuestra identidad.

No hay comentarios:

Publicar un comentario

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares