A raíz de los comentarios en las anteriores entradas referentes al spam malicioso que me ha llegado, me puse a investigar un poco más. Por desgracia en esto de la seguridad informática solo soy un aficionado y no tengo tanta idea de como hacer este tipo de análisis forense; además de que es un juego para mí.

Revisé con un poco más de cuidado el correo electrónico original y encontré unos encabezados interesantes: aquellos de la categoría X-AntiAbuse. Estos indican que el correo fue originado por un script en PHP llamado m.php, y revelan su ubicación en el servidor atacado. El script es en sí una herramienta de apariencia inofensiva, titulado “Mailer by Tlaloc”. Genera una forma lista para ser llenada que envía un correo electrónico a través del servidor atacado.

El servidor Apache instalado en la máquina vulnerada permite enlistar directorios, y así pude ver otro script relacionado llamado sys.php; al abrirlo encontré que se trataba de una herramienta instalada con propósitos ciertamente malintencionados. Se trata de una copia de C99Shell, una shell escrita en un solo archivo PHP que permite realizar todo tipo de travesuras.

Con esto se puede concluir que el servidor atacado está completamente jodido. Sus atacantes tienen control total sobre él y lo utilizan para intentar defraudar a las personas que tienen cuentas en Banamex.

Por cierto un agradecimiento a BlackCat, que en su comentario al artículo anterior nos reveló que la IP introducida por este troyano en el archivo hosts de Windows, 69.72.195.140, es la misma que la utilizada por lista-huracan-dean.exe. Queda pendiente averiguar si ambos ejecutables son en realidad el mismo archivo renombrado. A su aclaración de que hay un servidor FTP corriendo en esa IP solo queda añadir que también tiene un servidor HTTP y HTTPS ejecutándose.

Como ha sido un día lento en noticias, voy a hablar de otro spam malicioso, tal como lo fue el del huracán Dean.

¿Alguien recuerda las tarjetas de Gusanito.com? Si, esas porquerías hechas en Flash que inundaban los correos electrónicos de todo el mundo. La salida fácil a no regalar cosas: enviar una tarjeta electrónica. Hace mucho que no sabía nada de ellos, hasta que me llegó un correo electrónico hoy. Contiene un enlace a una tarjeta de Gusanito que en realidad es un ejecutable. En este momento solo estoy usando Linux, así que no sé muy bien qué hará este programa, pero puedo analizarlo brevemente con algunas herramientas.

La primera cosa que llama la atención es revisar el correo en sí. Una vez más proviene de lantacliffbeach.com, y viendo los encabezados sospecho que están mandando correos masivos de esa dirección explotando un script en PHP de la misma página. Otra cosa sospechosa es ver las cadenas de texto que contiene el archivo binario. Utilizando los comandos strings y hexdump se pueden revisar y una de ellas dice:


jt3k@mastermind:~/Desktop$ strings gusanito.com.exe | grep dean
nuevo exe dean usa


Con lo que podemos ver la conexión directa… Me hubiera gustado comparar este ejecutable con lista-huracan-dean.exe, pero parece que ya lo retiraron del sitio donde se alojaba. Por si alguien se quedó con una copia y quiere comparar, la suma MD5 del nuevo ejecutable es

aa473236532d82760bae2a61e639837d gusanito.com.exe

Estamos viviendo en México una especie de histeria colectiva avivada por los medios de comunicación. El huracán Dean acaba de entrar al territorio nacional, aunque debido a la colisión con la masa terrestre ha perdido fuerza para caer a la categoría de tormenta tropical. En todo caso, hoy nadie fue a la escuela porque el gobierno federal pensó que era muy peligroso. Yo opino que realmente era muy difícil que un huracán llegara como tal al centro del país pero bueno, de todas maneras las escuelas de nivel básico de aqui no sirven de nada, así que un día más o un día menos de clases no hace ninguna diferencia.

Como es de esperar en situaciones de agitación como esta, pronto aparecerán intentos de fraude, del tipo “tengo 20 relojes Rolex auténticos que saquearon de Veracruz a precios increíbles”. Sin embargo, no van ni 24 horas de la entrada del huracán y ya tengo una interesante pieza de spam que contiene un intento de phishing.

Es un mensaje que contiene una advertencia sobre las rutas que seguirá el huracán, en un conveniente formato .EXE, y que aparenta haber sido originado en la Presidencia de la República. Por supuesto que se trata de un intento de phishing para insertarle un troyano al dueño de la computadora donde se abrió el mensaje, de tal modo que se convierta en zombie de una botnet.

Dos cosas me llaman la atención. Primero: al parecer el mensaje se originó de un servidor de correo sin protección, utilizado como open relay. Este servidor de correo pertenece al dominio lantacliffbeach.com, que corresponde a un spa y resort. En segundo lugar, el archivo EXE está alojado en los servidores de una escuela llamada Instituto Blaise Pascal, en el estado de Oaxaca, aunque es difícil saber si fue obra de algún integrante de la organización o si fueron atacados.

El archivo EXE, llamado lista-huracan-dean.exe, cambia el archivo hosts de Windows contenido en c:\Windows\system32\drivers\etc\ para añadir algunas direcciones. Asocia varios subdominios de banamex.com.mx con la dirección 69.72.195.140, identificada geográficamente con Clifton, en E.U., cerca de Nueva York en el estado de New Jersey. Una inspección rápida solo revela que en esa dirección está corriendo un servidor web Apache 2.0.54 en Fedora Linux.

El correo electrónico está mal redactado, y aunque las faltas de ortografía no saltan a la vista, la capitalización de las frases es muchas veces incorrecta.

Una copia del mensaje se puede ver aquí: spam_fraude.txt

Sobra decirlo, pero igual lo escribiré: no es prudente abrir este tipo de archivos.

La única manera de detener los intentos de los gobiernos de infiltrarse en nuestra vida privada es comenzar a utilizar técnicas criptográficas. Gracias a la tecnología podemos tener una cierta sensación de seguridad temporal…

Me alarma mucho leer en BoingBoing esta noticia: el gobierno de México pide asistencia a los Estados Unidos para vigilar las comunicaciones entre sus ciudadanos, con la excusa de combatir el narcotráfico. Se incluyen comunicaciones telefónicas y correo electrónico. Por lo pronto, espero poder convencer a mis contactos de utilizar criptografía en todos nuestros intercambios.

Tantos años de paranoia rinden sus frutos. Mi llave pública de GPG es la 0xE5296C68 en los servidores usuales. Si se utiliza la versión de línea de comandos, con la instrucción $ gpg --keyserver pgp.mit.edu --recv-key 0xE5296C68 debería ser suficiente para agregar mi llave. Procuraré ponerla en formato ASCII Armor en la sección Acerca de.