Ataque phishing a gran escala contra entidades bancarias españolas

En los últimos días se están produciendo varios ataques phishing específicos contra entidades españolas especialmente agresivos a través de un kit que comprende a muchos bancos españoles. No sólo simulan ser la página del banco, sino que además intentan infectar al sistema que lo visita de una manera nada trivial.

La pasada semana detectamos en Hispasec un kit de phishing que afectaba a 35 entidades españolas, todos en un mismo servidor. Hasta ahí, el hecho es relativamente normal. Hace sólo algunas horas, hemos detectado el mismo kit alojado en varios servidores distintos, lo que ya indica cierta insistencia de los atacantes. Lo importante en este caso es que además se está intentando infectar a quien lo visita, de forma que no sólo es víctima quien introduce los datos en la página falsa. A través de un JavaScript y según el navegador, la página intenta ejecutar código y hacerse con el sistema. En algunos casos, lo único que intentan es desestabilizar el navegador realizando ataques de JavaScritp, con el único propósito de que sea necesario reiniciar la máquina.

Los phishing suelen estar alojados en páginas legítimas comprometidas, normalmente en algún directorio interno de la web. La estructura suele ser: http://www.XXXXX.ZZ/XXXX/s/(banco)

Habiendo encontrado dominios de Rusia, Brasil y .ORG. Donde “banco” representa el código de la entidad afectada. Hasta 35 por dirección. Todas españolas.

Las entidades a las que pretende simular son: Bancaja, Banca March, Bankinter, Bankoanet, BBK, BBVANet, Banco Guipuzcoano, Caixa Catalunya, Caixanova, Caja España, CajaMadrid, CajaMurcia, CajaSur, Caja Mediterraneo, Caja Canarias, Caja Castilla La Mancha, Caja Navarra, Deutsche Bank, Caixa Geral, Banco Herrero, IberCaja, ING Direct, Kutxa, Caixa d’Estalvis Laietana, Caixa Ontinyent, OpenBank, Caja Rural, Banco Sabadell, Solbank, Caixa Tarragona, Unicaja, Banco Urquijo, VitalNet.

En estos momentos al menos un servidor sigue activo y casi toda su infraestructura (donde se aloja el malware) también. Se recomienda no seguir ningún enlace, ni aunque se conozca que se trata de un phishing y se pretenda simplemente reportar el incidente, además de actualizar el sistema y el antivirus.

El ataque está fuertemente ofuscado, con JavaScripts cifrados que intentan descargar y ejecutar diferentes binarios en una especie de laberinto de redirecciones. Hemos encontrado hasta 6 ejecutables distintos, todo malware bancario destinado a Windows, y con muy diferentes niveles de detección en VirusTotal según el archivo. De una forma bastante agresiva, el ataque parece intentar aprovechar vulnerabilidades del navegador para la ejecución de código.