Informe sobre mensajes que suplantan al Instituto de ... · permisos adicionales en el navegador,...
Transcript of Informe sobre mensajes que suplantan al Instituto de ... · permisos adicionales en el navegador,...
Informe sobre mensajes que suplantan al Instituto de Seguridad Laboral de Chile (ISL) Santiago, 04 de Octubre del 2019
Nota La información consignada en el presente informe es producto del análisis de múltiples fuentes, de
terceras partes e investigación propia del equipo CSIRT. La información contenida en los informes o
comunicados está afecta a actualizaciones.
Este informe ha sido clasificado con TLP BLANCO. La información puede ser distribuida sin
restricciones.
Resumen Ejecutivo
El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT), fue alertado el día 25 de
Septiembre del presente año sobre un una campaña de phishing a través de la aplicación de
mensajería instantánea WhatsApp. El mensaje afirmaba, a la persona que lo recibía, sobre la
existencia de un fondo (monto de dinero) disponible en el Instituto de Seguridad Laboral de Chile
(ISL), invitándolo a seleccionar el enlace para verificar su nombre en la lista de los posibles
beneficiados.
Este informe proporciona detalle del método de infección y el comportamiento de la campaña.
Además se comparten indicadores de compromisos y formas de prevenir ataques de ingeniería
social que son utilizados por los atacantes.
Si bien las técnicas descubiertas por CSIRT ya han sido documentadas anteriormente, el objetivo de
este documento es llamar a los usuarios a tener precaución.
Análisis del Caso
Con fecha 25 y 27 de Septiembre de 2019, el Equipo de Respuesta ante Incidentes de Seguridad
Informática, CSIRT, fue informado que la ciudadanía se encontraba recibiendo mensajes vía
WhatsApp.
En la investigación se utilizó un dispositivo móvil con sistema operativo Android 5.1.1 y browser
Chrome 76.03809.89.
Iniciando la investigación se pudo identificar dos mensajes semejantes con diferente hipervínculo:
“https://agorafinancas[.]club/chl-isl y https://empregopraja[.]club/isl-chl.
Figura 1. Mensaje WhatsApp
CSIRT analizó los vínculos que los atacantes utilizaron en los mensajes que intentaban suplantar al
sitio original del Instituto de Seguridad Laboral “https://www.isl.gob.cl/”
Figura 2. Sitio web falso
Al analizar el sitio se puede apreciar un certificado digital, representado por la imagen del candado
color verde. Para ello el atacante utilizó un certificado digital gratuito, lo que en apariencia podría
confundir al usuario del sitio. Este ícono solo asegura que la comunicación entre el cliente y el
servidor es segura y no necesariamente que es un sitio legítimo. Esta técnica está siendo
ampliamente utilizada hoy en día para engañar a los usuarios.
Luego observamos un mensaje que consulta al usuario si “le gustaría recibir estos fondos de ISL de
inmediato”. Si el usuario selecciona la opción, “si por supuesto”, automáticamente se configuran
permisos adicionales en el navegador, lo que permite la recepción de notificaciones, tal como se
muestra en las siguientes imágenes.
Figura 4. Permisos de Notificaciones
Luego de aceptar los supuestos fondos, se solicita contestar algunas preguntas para terminar el
proceso y verificar si el nombre de la víctima figura en la lista. ¿Tienes más de 18 años?, ¿Trabajo en
uno de los periodos de 1990 a 2019?, Por el momento, ¿Trabajas en alguna parte?
Figura 5. Encuesta
Independiente de cual sea la respuesta que se marca, al final de la encuesta, el atacante insta a
compartir la promoción a sus contactos de WhatsApp, asegurándose así, que el mensaje sea
compartido entre los contactos de la persona afectada y, potencialmente, aumentar la cantidad de
víctimas. Además, inserta comentarios de supuestas personas que han recibido el beneficio. Todo
esto para darle credibilidad a la campaña.
Figura 5. Reenviar Mensaje y comentarios de otros beneficiarios
El atacante, para poder utilizar los contactos del WhastsApp de la víctima, inserta en el sitio suplantado, en este caso “https[:]//agorafinancas[.]club/chl-isl“, algunas líneas de código. Al presionar el botón identificado como WhatsApp, automáticamente consigue abrir la aplicación de mensajería del dispositivo, predeterminando la estructura del mensaje que será compartido, como se muestra en la imagen a continuación.
Figura 6. Código WhastsApp
Solo segundos antes de terminar el proceso, el dispositivo comienza a recibir promociones que se
despliegan en forma de “notificaciones” dentro del browser utilizado en la investigación, es decir,
Google Chrome, las cuales están relacionadas a supuestos premios y/o beneficios tales como
teléfonos celulares, encomiendas pendientes por retirar, ofertas de equipos telefónicos, programas
de recompensa de clientes GTD, entre otros.
Figura 7. Notificaciones en Chrome.
En esta etapa, pudimos establecer que el mensaje recibido por WhatsApp activa las notificaciones
del browser para recibir distintos tipos de publicaciones. Además de forma aleatoria solicita al
afectado a suscribirse a nuevos sitios de notificaciones.
Figura 7. Notificaciones
Al investigar los dominios involucrados, se logró detectar que esta campaña de phishing no solo fue
dirigida a Chile, sino que también a otros países de Latinoamérica.
- Ministerio de Trabajo y Seguridad Social, de Uruguay
- Instituto de Seguridad Social (ISS), de Colombia
- Seguro Social de Salud, de Perú
Figura 8. Url Sitios suplantados
Buscando antecedentes históricos, también se logró identificar otras campañas similares con el fin
de engañar a los usuarios con un supuesto retiro de dinero.
Figura 9. Url Históricas
Se debe tener presente que el Instituto de Seguridad Laboral, una vez en conocimiento del phishing, utilizó sus redes sociales para alertar que ellos no habían emitido esta información, que no realiza comunicaciones por esa vía, y que nunca pedirá datos personales y/o contraseñas a sus usuarios.
Figura 109. Mensaje Sitio Oficial de ISL
Figura 11. Mensajes Twitter
Conclusiones La exposición de este caso demostró que la infección inicial se produce a través del método de
ingeniería social, en este caso, suplantando la identidad del Instituto de Seguridad Laboral.
No se logró constatar la instalación de algún programa malicioso para infectar los dispositivos
móviles. Tampoco se puede descartar que en algún momento el atacante envíe algún mensaje
incitando a seleccionar algún vínculo, para luego descargar alguna aplicación que pueda ser utilizada
para sustraer información personal.
El objetivo de esta campaña es levantar notificaciones con publicidad en los dispositivos, por lo que
se puede concluir que el atacante debe recibir un incentivo económico para propagar este tipo de
ataques.
CSIRT insta a los usuarios de internet a seguir las recomendaciones básicas que se indican más
adelante, ya que cada vez más los cibercriminales recurren al engaño para obtener réditos
económicos.
Es importante verificar qué tipo de notificaciones está recibiendo su browser. Para esto, los usuarios pueden apoyarse en la ayuda de cada navegador.
Recomendaciones
No abrir correos ni mensajes de dudosa procedencia.
Desconfiar de los enlaces y archivos en los mensajes o correo.
Ser escépticos frente ofertas, promociones o premios increíbles que se ofrecen por internet
Prestar atención en los detalles de los mensajes o redes sociales
Mantener sus dispositivos actualizados
Mantener las aplicaciones actualizadas
Desconfiar de promociones que no se encuentren en los canales oficiales
Siempre visitar los canales de comunicaciones oficiales
Indicadores de compromisos Url’s Suplantación: https://agorafinancas[.]club/uy-mtss/ https://agorafinancas[.]club/bank-ru https://agorafinancas[.]club/uy-mtss https://agorafinancas[.]club/chl-isl https://empregopraja[.]club/co-iss https://empregopraja[.]club/essalud/ https://empregopraja[.]club/kwsp https://wordcoin[.]online/uymtss/ https://wordcoin[.]online/pe-essalud https://wordcoin[.]online/cl-isl/ https://mobm1[.]info/iss https://mobs2[.]info/essalud https://mobj[.]info/pe-essalud Url’s Publicidad http://sexysinglesonline[.]net https://www[.]best-mobile-app[.]club https://up[.]trkgenius[.]com http://core[.]royalads[.]net https://streaming[.]postyourlife[.]com https://punitive[.]co/visit[.]php https://progresssuper[.]club https://znakachestva[.]com http://cogerhoy[.]com https://tracklink[.]top/cl/ali https://clk[.]wbidder[.]online https://medium-telepatico[.]com https://enganchosalaweb[.]com http://cogerhoy[.]com http://tichtipi[.]com http://ateap[.]personal-video[.]live http://asdkeeper[.]co[.]uk http://wordpressninjas[.]online