Nuevo esquema de phishing en URLs mediante prefijos malformados

El phishing es sin ninguna duda el vector número uno de entrada, que los ciberdelincuentes utilizan para comprometer empresas y redes domésticas. Parte de su éxito estriba en renovarse continuamente, que es lo que nos ocupa hoy. Trataremos un nuevo tipo de ataque en URLs o direcciones web a tener en cuenta.

Es importante, como miembros de un equipo de ciberdefensa (Blue Team), o como consultores, pero también como usuarios finales, estar familiarizados con los nuevos esquemas de ataque, para adaptar nuestras respuestas y poner a prueba nuestros productos de seguridad y entrenamiento.

A pesar de que vamos estando más inmunizados a intentos de ingeniería social comunes (por ejemplo, recibimos un correo de Amozon.com y decidimos ignorarlo), una de las últimas vías de ataque no emplea esta técnica conocida como typosquatting.

Prefijos de URL malformados para servir phishing

El equipo de ciberinteligencia de GreatHorn ha identificado un nuevo tipo de ataque, el cual no necesita de modificar o escribir mal a propósito un dominio, de hecho, no modifica en absoluto la apariencia visual del mismo.

Este ataque se centra en os símbolos que preceden a la URL, el prefijo antes del dominio real. Este ataque se emplea para desencadenar infecciones a través del correo electrónico, siendo capaz de saltar los filtros de seguridad de correo tradicionales.

Lo que se hace es no utilizar los protocolos normalmente entendidos por los navegadores para abrir enlaces, sustituyendo los clásicos http:// y https:// por http:/\.

Cada una de las peticiones que atiende nuestro navegador antes de mostrar el contenido, está conformada por:

1. Esquema (o protocolo): el HTTP o Hypertext Transfer Protocol, que podría ser otra cosa como FTP, GIT, etc.
2. Host: el dominio principal. TLD o Top Level Domain. Ejemplo: Amazon.es
3. Puerto: un número (:xx) que será especificado si no es el estándar. Más sobre puertos en Linux y Windows.
4. Ruta (path): el recurso local que ha sido solicitado (opcional)
5. Query string (cadena de solicitud): información enviada al servidor, relativa al cliente

Los navegadores están a día de hoy instruídos para ignorar la sintaxis clásica de :// por motivos evidentes, interpretando únicamente el esquema o protocolo y resto de datos. Parece ser que el mismo creador de Internet (Berners lee) lo sugería en la BBC, ¿por qué no hacerle caso?

El problema es que ahora sabemos que los chicos malos son capaces de engañar a diferentes soluciones de seguridad para Email utilizando esta sintaxis incorrecta en el prefijo de la URL.

Además, para el ojo humano no serán evidentes, primero porque dependiendo de nuestro dispositivo podría no mostrarse el protocolo en absoluto. Segundo, porque aunque si sea, mucha gente no está bien instruída o no se fija con tanto detalle.

Sectores más afectados

Esto es algo que ya está sucediendo, aunque existen sectores cuya incidencia en ataques destaca por encima del resto, según GreatHorn.

• Sector de las farmacéuticas
• Empresas de préstamos/financieras
• Sector de la construcción
• Sector de telefonía móvil y servicios de banda ancha

En cuanto a las plataformas, tenemos que Office 365 es (de forma poco sorpresiva) la herramienta de productividad en linea más afectada por estos ciberataques, con bastante incremento sobre otras (aunque estas también) como Google Cloud Platform.

Tipos de ataques

Las versiones «beta» o iniciales de estos ataques de phishing, empezaron por engañar al usuario mediante el uso del prefijo de URL malformado, simulando un servicio de correo de voz sobre correo electrónico. Recientemente se han ampliado las mecánicas y llamadas a la acción para el usuario. Ejemplos:

• Nombre de dominio suplantado: para este engaño, el atacante se hace pasar por el servicio de email de la empresa, cambisando el nombre mostrado.
• Comportamiento de emisor innusual: dicha táctica evita las listas negras (deny lists) de los escaneadores de coreo, usando direcciones y dominios que no guardan relación previa entre la organización que envía y el receptor. Esto obliga a los scanners a determinar una reputación que desconocen.
• Payload: la carga o mensaje puede contener un enlace que emplea un dominio redireccionado de forma abierta.
• Sentido de urgencia: la linea correspondiente al «emisor» o el cuerpo del mensaje, proyectan un sentimiento de urgencia o importancia. Esto intenta evitar nuestro razonamiento al respecto.

Veamos el siguiente ejemplo. Es un caso real en que una URL nociva a la que se lleva al usuario intenta impersonar un servicio de correo de voz (buzón de voz), informando de un mensaje pendiente, podría ser una factura, etc.

El mensaje contiene un enlace incrustado (archivo .WAV) que redirige a la web del servidor malicioso, incluso inyendo un reCAPTCHA, un recurso típico de sitios web legítimos que incrementará nuestra falsa sensación de confianza.

Si se continúa con el proceso, se llega a una página muy similar al clásico logon page de Office 365. Ya está incluído el correo del usuario (un detalle más para no hacernos sospechar) y pulsamos siguiente.

El usuario ahora introduciría sus credenciales, que serán inmediatamente capturadas en destino.

Se recomienda a los equipos de respuesta y consultoría que modifiquen el filtrado de sus sistemas de seguridad web y de email, de forma que puedan reconocer este patrón en adelante. Aunque no es un ataque muy visto hasta la fecha, se espera que siga en expansión a partir de ahora.