El investigador de ciberseguridad Daniel López, de Citrix, lleva a cabo en Twitter un seguimiento de webs de phishing dedicadas a suplantar la web de Correos para robar datos privados con la excusa de mostrarnos un 'localizador de envíos' que permite realizar un seguimiento de nuestro supuesto paquete.
Los enlaces a estas webs se envían luego mediante SMS y e-mails fraudulentos, para realizar así campañas de phishing.
López ha recopilado ya docenas de dominios usados por estas campañas fraudulentas, pero varias de ellas tienen algo en común: el código de las webs que alojan muestran que han sido generadas usando un mismo 'kit' de creación de webs maliciosas…
…uno que hace uso de la propia infraestructura de Telegram (concretamente de sus bots) para extraer y recopilar credenciales de incautos en campañas de phishing, un proceso que conocemos como 'exfiltración'.
Aquí se ven capturas de pantalla del código de los archivos de configuración de dos de estas webs, en el que se muestra la información que las permite conectarse con sus respectivos bots personalizados de Telegram:
vía @0xDanielLopez en Twitter
Estas son sólo algunas de las webs identificadas como vinculadas a ese mismo kit de suplantación de Correos. Cuidado si te cruzas con un enlace a las mismas, porque, como puedes comprobar, algunas pueden resultar engañosas en un vistazo rápido:
- ➡️ /correost-es.xyz
- ➡️ /es-correts18.top
- ➡️ /es-correos.top
- ➡️ /correos-es-com.xyz
- ➡️ /es-corrpost89.top
- ➡️ /correoset-es.xyz
- ➡️ /es.correost.icu
- ➡️ /es-correoss.top
- ➡️ /ansmj.cyou
- ➡️ /coress-es.xyz
- ➡️ /corioie.top
- ➡️ /correos-es.xyz
- ➡️ /correos-sv.tempurl.host
- ➡️ /correos.seposte.hsbx.top
- ➡️ /correos.win
- ➡️ /correos666es.top
- ➡️ /correossese.top
- ➡️ /es-correos.shop
- ➡️ /esposte-correos.top
- ➡️ /messdadaj.one
- ➡️ /td.correos-es.us
- ➡️ /coresros.com
- ➡️ /correosese.cyou
- ➡️ /xby-correoses.cyou
El malware, en Telegram, es Legion (sin tilde)
El antiguo paradigma del cibercriminal que desarrolla sus propias herramientas de malware para llevar a cabo sus 'operaciones' pasó al olvido hace mucho. Ahora, hay todo un ecosistema comercial creado en torno a la ciberdelincuencia, en el que unos agentes se centran en desarrollar software o proporcionar infraestructuras para los ataques perpetrados por otros.
Pero lo que pocos esperaban es que Telegram se terminara alzando como uno de los muchos escaparates de ese mercado de los ciberataques, uno en el que se pueden adquirir aplicaciones… e, incluso, como ya hemos comentado antes, bots de Telegram que se convierten en intermediarios entre los compradores de estos kits y sus víctimas.
Legion (imagen de Cado Security)
Una de las últimas novedades en este submundo es Legion, una herramienta desarrollada en Python que, además de utilizar Telegram como punto de exfiltración de datos, permite realizar ataques de ejecución remota de código (RCE), explotar servidores que utilizan versiones no parcheadas de Apache, de sistemas de gestión de cuentas como cPanel, de frameworks como Laravel y de ciertos CMS basados en PHP.
Todo esto lo revela en su web la compañía de ciberseguridad Cado Security, que muestra fragmentos del código de Legion que indican "la capacidad de canalizar los resultados de cada uno de los módulos en un chat de Telegram a través de la API de Telegram Bot". Exactamente como en el caso de las webs de pseudoCorreos de más arriba.
Más allá del uso de bots, el propio malware parece distribuirse a través de un grupo público de Telegram, un grupo fundado en febrero de 2021 y que cuenta con casi 1090 miembros. Otros dos grupos dedicados a anunciarlo sumaban 5.000 miembros, según los investigadores.
Ver 1 comentarios