Caso: Suplantación de identidad a IMSS

A través de patrullaje en la red, se pudo detectar un clon de la página oficial del Instituto Mexicano del Seguro Social [ http://imss.gob.mx ( IP: 201.144.108.20 )], en el cuál se pueden realizar una variedad de consultas, trámites así como verificar el status de alguna solicitud.

La página fraudulento en cuestión, intenta engañar al usuario mediante el uso de una URL muy parecida a la oficial; dada por:

→ http://www.lmssgob.mx – IP: 217.70.184.38

En la que se puede deducir:

✔ Se cambia la primera letra después del www, en la página oficial se aprecia http://www. i mss.gob.mx (nótese la letra ' i ' [ i latina ])

✔ La página fraudulenta no sigue esta nomenclatura por 2 razones:

La primera letra del dominio fraudulento es http://www. l mssgob.mx ( letra ' l ' [ ele ])

NO es un dominio de gobierno, ya que su terminación es .mx y no .gob.mx; sin embargo, tratan de utilizar dicho domino para hacerlo parecer confiable y fidedigno → www . lmss gob.mx

Información de WHOIS:$ whois -v lmssgob.mx

Domain Name: lmssgob.mx

Created On: 2012-10-24Expiration Date: 2013-10-24Last Updated On: 2012-10-24Registrar: Gandi SASURL: http://www.gandi.net/Registrant: Name: Mauricio Felix City: Hermosillo State: Sonora Country: Mexico

Administrative Contact: Name: Mauricio Felix City: Hermosillo State: Sonora Country: Mexico

Technical Contact: Name: Mauricio Felix City: Hermosillo State: Sonora Country: Mexico

Billing Contact: Name: Mauricio Felix City: Hermosillo State: Sonora Country: Mexico

Name Servers: DNS: b.dns.gandi.net DNS: c.dns.gandi.net DNS: a.dns.gandi.net

Al inspeccionar el código de dicha página falsa, se encuentra:

1. Un formulario en el cual se piden los siguientes datos:

– Certificado Digital – Usuario– Llave Privada – Contraseña

→ Código Javascript:

2. Dentro de los meta de la página, se puede encontrar un contador para la descarga de un archivo

supuestamente utilizado para actualización de plugins de Java:

Significa que si no se anexa el archivo con dichas terminaciones (.p12, .pfx o .cer) no se valida la forma por lo que es “imposible” adjuntar dicho archivo

Contador a 5 segundos para luego proceder a la descarga

Archivo a descargar al momento de terminar el tiempo de dicho contador.

3. Es importante mencionar que en la línea 4:

➢ Se agregó automáticamente un comentario a la línea; en el cual se especifica que fué agregado por un servicio llamado HTTrack ( http://www.httrack.com/ )el cual se trata de un Software de Código Libre con el cual se puede clonar localmente cualquier página Web, en la cual el procedimiento que se está siguiendo es:

Se clona la página objetivo→

Los estilos, así como los links periféricos son auténticos, para hacer más creíble la →página.

La única edición que se da es en la forma de contacto, en la cual se editan las rutas al→ momento de ingresar datos para que los datos no sean enviados a los servidores del IMSS, sino del atacante que busca pasarse por dicha Web.

4. El archivo para “actualizar” Java en cuestión:

http://www.lmssgob.mx/descargas/auth/imss/download.asp/javapolicy.exe

Al inspeccionar dicho archivo, se analiza lo siguiente:

Se trata de un troyano bancario, el cuál su única función es inspeccionar por medio de expresiones regulares si se encuentran datos guardados tanto en el navegador como en el caché de las páginas para el robo de datos, cuentas e información.

Dicho troyano es: Trojan-Spy.Win32.Zbot.gdlb

Referencia: Kaspersky Labs → http://support.kaspersky.com/sp/faq/?qid=208280041

Esta muestra ha sido marcado por el banco de datos de Hispasec como un troyano bancario, es decir, un troyano que roba información bancaria para realizar transferencias no autorizadas a nombre de las cuentas atacante.

Nombre de la familia: ZeusEste troyano roba credenciales de entidades financieras bancarias / u organizaciones.

Resúmen:Zeus es una amenaza troyano diseñado para robar datos del sistema de la víctima. Es más conocido por robar información de la cuenta financiera por ejemplo, datos bancarios en línea de inicio de sesión y los datos de la cuenta. Una vez que el archivo binario infectado se instala en una máquina, se conecta a un servidor de comando y control, y también supervisa la actividad de Internet y archivos de datos robados.

Datos técnicos:

ssdeep

3072:zhsVGOkYpXiz5ESo7ZNCPYZzKmPatSvuCvlTbU+N0:KV/cS7uYZz5dp4+u

TrID

Win32 Executable Generic (38.4%)Win32 Dynamic Link Library (generic) (34.1%)Win16/32 Executable Delphi generic (9.3%)Generic Win/DOS Executable (9.0%)DOS Executable Generic (9.0%)

ExifTool

MIMEType.................: application/octet-streamSubsystem................: Windows GUIMachineType..............: Intel 386 or later, and compatiblesTimeStamp................: 1992:06:19 23:22:17+01:00FileType.................: Win32 EXEPEType...................: PE32CodeSize.................: 12800LinkerVersion............: 2.25EntryPoint...............: 0x3f10

InitializedDataSize......: 145408SubsystemVersion.........: 4.0ImageVersion.............: 0.0OSVersion................: 4.0UninitializedDataSize....: 0

Portable Executable structural information

Compilation timedatestamp.....: 1992-06-19 22:22:17Target machine................: 0x14C (Intel 386 or later processors and compatible processors)Entry point address...........: 0x00003F10

PE Sections...................:

Name Virtual Address Virtual Size Raw Size Entropy MD5CODE 4096 12324 12800 6.51 e9d7551e4733933678daf419a7e48f24DATA 20480 141664 141824 6.02 8fbc41dca1b124d6f91cdf2b0b52bfaaBSS 163840 1645 0 0.00 d41d8cd98f00b204e9800998ecf8427e.idata 167936 1270 1536 4.07 64a4a218ae1d12ff05a4d7e0a5768585.tls 172032 8 0 0.00 d41d8cd98f00b204e9800998ecf8427e.rdata 176128 24 512 0.21 502b30e972b451804db54bdccf9f7699.reloc 180224 828 1024 5.82 39b17922b11700a0b6f614dd4b7e03e0.rsrc 184320 512 512 2.35 9d64844a06233bf15fcb3aeff6d345e3

PE Imports....................:

[[advapi32.dll]]RegOpenKeyExA, RegQueryValueExA, RegCloseKey

[[shell32.dll]]SHBrowseForFolderW, ShellExecuteW, DragQueryPoint, SHGetSpecialFolderLocation, DragQueryFileA, SHFileOperationA

[[kernel32.dll]]GetStdHandle, EnterCriticalSection, lstrlenA, GetModuleFileNameW, FreeLibrary, ExitProcess, GetThreadLocale, RtlUnwind, DeleteCriticalSection, GetStartupInfoA, GetLocaleInfoA, LocalAlloc, GetModuleHandleW, UnhandledExceptionFilter, GetCommandLineA, lstrcatW, lstrcpyW, RaiseException, GetModuleHandleA, WriteFile, GetCurrentThreadId, LocalFree, InitializeCriticalSection, VirtualFree, TlsGetValue, Sleep, TlsSetValue, GetVersion, VirtualAlloc, LeaveCriticalSection

[[user32.dll]]UnregisterHotKey, MessageBoxA, GetKeyboardType, GetSystemMetrics

PE Resources..................:

Resource type Number of resourcesRT_RCDATA 2

Resource language Number of resourcesNEUTRAL 2

First seen by VirusTotal

2012-10-25 18:33:03 UTC ( 1 week, 6 days ago )

Last seen by VirusTotal

2012-11-07 19:22:54 UTC ( 3 minutes ago )

File names (max. 25)

1. javapolicy.exe 2. 9ce751c75c7dc57397a8efaf554 3. file-4689996_exe 4. SAT_Aviso_Cero-2.0.exe 5. Renuevacertificados.exe

> Minería de datos de la URL maliciosa:

domain: lmssgob.mx reg_created: 2012-10-24 12:26:39 expires: 2013-10-24 12:26:39 created: 2012-10-24 14:26:40 changed: 2012-10-24 15:19:39 transfer-prohibited: yes ns0: a.dns.gandi.net ns1: b.dns.gandi.net ns2: c.dns.gandi.net owner-c: nic-hdl: MF4544-GANDI owner-name: Mauricio Felix organisation: ~ person: Mauricio Felix address: "Blvd. Morelos #432\r\nCol Bachoco" zipcode: 83148 city: Hermosillo state: Sonora country: Mexico phone: +52.6622593108 fax: ~ email: ef4121601f85fe0b708b979fd7aa1534-1580469@contact.gandi.net lastupdated: 2012-10-24 14:18:27 admin-c: nic-hdl: MF4544-GANDI owner-name: Mauricio Felix organisation: ~

Creada apenas el 24 de Octubre del 2012

person: Mauricio Felix address: "Blvd. Morelos #432\r\nCol Bachoco" zipcode: 83148 city: Hermosillo state: Sonora country: Mexico phone: +52.6622593108 fax: ~ email: ef4121601f85fe0b708b979fd7aa1534-1580469@contact.gandi.net lastupdated: 2012-10-24 14:18:27 tech-c: nic-hdl: MF4544-GANDI owner-name: Mauricio Felix organisation: ~ person: Mauricio Felix address: "Blvd. Morelos #432\r\nCol Bachoco" zipcode: 83148 city: Hermosillo state: Sonora country: Mexico phone: +52.6622593108 fax: ~ email: ef4121601f85fe0b708b979fd7aa1534-1580469@contact.gandi.net lastupdated: 2012-10-24 14:18:27 bill-c: nic-hdl: MF4544-GANDI owner-name: Mauricio Felix organisation: ~ person: Mauricio Felix address: "Blvd. Morelos #432\r\nCol Bachoco" zipcode: 83148 city: Hermosillo state: Sonora country: Mexico phone: +52.6622593108 fax: ~ email: ef4121601f85fe0b708b979fd7aa1534-1580469@contact.gandi.net lastupdated: 2012-10-24 14:18:27