Infraestructura criminal para preparación de ataques por Phishing

Ha sido descubierto  un site alojado en direcciones de Yahoo conteniendo toda la infraestructura completa de preparación de ataques por phishings. En este site criminal se ha localizado todo tipo de scripts , phishings kits , exploits , herramientas de SPAM necesario para la realización de actividades fraudulentas de robo de credenciales y obtención de datos confidenciales contra entidades financieras bancarias de Europa , principalmente de España , Reino Unido e Italia

Con tal cantidad de material malicioso es posible realizar el ciclo de fraude completo.

Por las trazas y comentarios que aparecen en los scripts maliciosos todo parece indicar que esta infraestructura pertenece a grupos criminales de Rumania.

La forma de proceder de los delincuentes se realiza en 3 fases:

Una primera fase de localización en Internet de servidores legítimos que tengan instalados la aplicación de gestión de base de datos Phpmyadmin, y que tengan instalada las versiones  phpMyAdmin < 3.3.10.2 & < 3.4.3.1 vulnerables a ciertos exploits diseñados por los criminales para poder subir código malicioso al servidor legitimo.

Para localizar estos servidores phpmyadmin vulnerables lanzan mediante scripts peticiones en el buscador BING para encontrar las direcciones de Internet que contengan en su URL las siguientes rutas que se mustran en la imagen.

Estos exploits aprovechan una debilidad en las opciones de configuración del servidor de phpmyadmin para subir una Shell php que permita a los criminales tomar el control de la máquina vulnerada.

La siguiente fase consiste básicamente en la preparación del phishing contra las entidades bancarias objetivo. Para ello aprovechan la Shell alojada en los servidores comprometidos para subir el kit del phishing que suele consistir en un fichero .zip que contiene la copia clon exacta de la entidad financiera contra la cual quieren realizar el phishing. Estos kits ya están preparados para enviar los datos capturados a los usuarios engañados a ciertas direcciones de mail que han configurado los criminales en los scripts del phishing:

El objetivo principal de estos phishings es obtener datos confidenciales de las tarjetas de crédito de los clientes simulando ser peticiones de la entidad bancaria del cliente. Y sobre todo obtener el código PIN o ATM que se utiliza para operar en los cajeros automáticos y que en muchos comercios electrónicos y direcciones de banca electrónica es utilizado para contratar servicios financieros contra dicha tarjeta que serán utilizados posteriormente por los criminales para realizar transacciones comerciales fraudulentas.

 

La última etapa del fraude consistirá en lanzar una campaña de SPAM con correos conteniendo las URL falsas donde están alojados los phishings para intentar engañar a los usuarios y que visiten estas direcciones fraudulentas completando sus datos bancarios confidenciales.

Estas herramientas de SPAM así como listas de direcciones de mail para spamear también están alojadas en el servidor fraudulento: