La empresa FireEye ha encontrado campañas de phishing dirigidas a los usuarios de Apple, entendiendo como objetivo la cuenta de iCloud de los usuarios. En las campañas se utilizaban dominios falsos. La empresa ha informado que desde Enero de este año, varias campañas de phishing se han dirigido a los usuarios de Apple con el objetivo de robar el Apple ID, generalmente en Reino Unido y China. Cualquier persona que tenga un Apple ID podrá acceder a la información del usuario, así como a sus datos. FireEye explica que ha utilizado un sistema automático que detecta phishing y dominios potencialmente maliciosos.
Este sistema fue el que observó y registró estos dominios maliciosos de phishing. Estos dominios falsos de Apple estuvieron involucrados en los ataques de phishing contra los usuarios de iCloud en China y Reino Unido. En el blog de FireEye se puede ver el estudio y análisis que hicieron de la investigación y detección. La campaña que trata la gente de FireEye es la de Zycode. El phishing se denomina zycode debido al valor de una variable incrustada en el código Javascript. A continuación se muestra un listado de dominios maliciosos detectados por FireEye, los cuales, ninguno, apunta a la infraestructura de Apple.
Este sistema fue el que observó y registró estos dominios maliciosos de phishing. Estos dominios falsos de Apple estuvieron involucrados en los ataques de phishing contra los usuarios de iCloud en China y Reino Unido. En el blog de FireEye se puede ver el estudio y análisis que hicieron de la investigación y detección. La campaña que trata la gente de FireEye es la de Zycode. El phishing se denomina zycode debido al valor de una variable incrustada en el código Javascript. A continuación se muestra un listado de dominios maliciosos detectados por FireEye, los cuales, ninguno, apunta a la infraestructura de Apple.
Figura 1: Dominios maliciosos |
La lista de dominios muestra que los atacantes están intentado imitar los sitios web legítimos relacionados con iTunes, iCloud y Apple ID. La mayoría de los dominios aparecieron como una interfaz de inicio de sesión de Apple ID, iTunes e iCloud. Los dominios estaban altamente ofuscados con Javascript, el cual estaba creando el contenido HTML suplantando la identidad de Apple en el sitio web. Esta técnica es eficaz contra los sistemas antiphishing, los cuales se basan en el contenido HTML.
Generalmente, las imágenes que imitan a una marca o la forma de recoger las credenciales robadas son rasgos claros que hacen que un phishing pueda ser detectado. En estos casos el Javascript apoya al atacante para ofuscar la respuesta y no revelar su verdadera intención al no ser ejecutada dentro de un navegador web o de un emulador de Javascript.
Figura 2: Código ofuscado |
Esta cadena codificada strHTML pasa por una secuencia compleja de funciones, alrededor de las 23 de descifrado o decodificación. Las funciones incluyen conversiones de sistemas numéricos, modificadores de patrones pseudo-aleatorios seguidos de decodificación XOR con llave fija o contraseña "zycode". Los sistemas antiphishing que se basan únicamente en el HTML no detectarán el código generado utilizando esta técnica. Una vez cargado en el navegador web, el Javascript ofuscado crea una página de phishing de iCloud.
Figura 3: BurpSuite |
No hay comentarios:
Publicar un comentario