Visto: 593

Anomali - Campaña de Suplantación de Identidad

Ratio: 5 / 5

Inicio activadoInicio activadoInicio activadoInicio activadoInicio activado
 

A fines de mayo de 2019, los investigadores de Anomali descubrieron una campaña de suplantación de identidad enfocada en los tres sistemas de adquisición electrónica (e-Procurement) del gobierno latinoamericano. 

La campaña utiliza páginas de phishing de aspecto convincente en las que se invita a personas y empresas a participar en proyectos públicos con los gobiernos de México, Perú o Uruguay. Los actores o el grupo detrás de estos ataques de phishing configuran múltiples portales en línea fraudulentos para robar las credenciales de la cuenta de usuarios confiados, que pueden venderse con fines de lucro en mercados clandestinos o como un punto de entrada inicial para obtener información confidencial y privilegiada de la víctima y su organización.

Antes de la publicación de esta publicación de blog, Anomali se dirigió a las entidades gubernamentales correspondientes para informarles sobre la campaña de phishing para minimizar la amenaza que representan las empresas que buscan oportunidades de contrato con los respectivos gobiernos. También enviamos los sitios de suplantación de identidad a Google Safe Browsing y Microsoft Defender Security Intelligence como una medida de seguridad adicional para bloquear los sitios web fraudulentos.

Introducción

El 28 de mayo de 2019, los investigadores de Anomali identificaron una campaña de phishing enmascarada como tres sitios web de compras electrónicas de los gobiernos latinoamericano de México, Perú y Uruguay. La siguiente tabla muestra las agencias de gobierno suplantadas y los nombres de los sistemas de contratación electrónica:

201907 img tabla

 

La campaña consistió en 16 páginas web únicas diseñadas para imitar los sistemas de compras electrónicos legítimos utilizados por los gobiernos mencionados anteriormente para solicitar ofertas de licitaciones gubernamentales. Cabe destacar que tres de las ocho páginas de phishing con temática de Perú que se alojaron en compras [.] Gob [.] Pe [.] Corpenta [.] Com se exhibieron prominentemente en Perú Compras , una agencia del Gobierno del Perú. Todos los servidores que alojaban las páginas de phishing estaban mal configurados y dejaron expuestos varios objetos, lo que permitía a cualquier visitante del sitio ver el contenido del directorio. Estos directorios tenían una estructura similar y contenían archivos como imágenes, páginas HTML y archivos CSS del sitio web de destino.

La Figura 0 muestra un ejemplo de los componentes utilizados para construir las páginas de phishing que imitan a CompraNet, el sistema electrónico de información pública gubernamental en materia de contrataciones públicas.

 

201907 img00

Figura 0. Ejemplo de un directorio abierto que incluye componentes de phishing relacionados con CompraNet (México).

 

Detalles en las páginas de phishing de e-Procurement

Cada una de las páginas de phishing relacionadas con compras electrónicas están escritas en el idioma y dialecto en español del país de origen del gobierno seleccionado, un intento probable de aumentar la autenticidad del sitio fraudulento. En la parte superior izquierda de la página principal hay un cuadro de mensaje con la siguiente información:

  • - La empresa de visitantes fue seleccionada para presentar una oferta sobre proyectos públicos no especificados.
  • - Solicita a los visitantes del sitio hacer clic en el botón "Entrar" o ingresar en el centro de la página para comunicarse con la agencia gubernamental a través de un portal privado.
  • - Todas las preguntas relacionadas con la preparación de una cita se enviarán por correo electrónico al cierre de las operaciones el 28 de junio de 2019 (específico para Perú y Uruguay) o el 30 de junio de 2019 (específico para México).

201907 img01

Figura 1. Página de phishing suplantando a la CompraNet del Gobierno de México.

 

201907 img02

Figura 2. Página de phishing suplantando las Compras Electrónicas del Gobierno de Uruguay.

 

201907 img03

Figura 3. Página de phishing suplantando las compras electrónicas del gobierno del Perú.

 

Cuando el usuario hace clic en el botón Entrar, aparece una ventana emergente que le solicita que inicie sesión con su dirección de correo electrónico y contraseña para acceder al portal en línea. La Figura 4 muestra la página de inicio de sesión con la página de inicio de Faux CompraNet en segundo plano.

 

201907 img04

Figura 4. Página de inicio de sesión de Faux para CompraNet del Gobierno de México.

 

Es de suponer que, una vez que la víctima revela sus credenciales de inicio de sesión, una página web muestra un mensaje de agradecimiento y le informa que puede recibir por correo electrónico la invitación a presentar una oferta para un proyecto no revelado con una de las tres ID de oferta:

  • - MX-0846-19-RFQ para solicitud de cotización del Gobierno de México
  • - PE-0846-19-RFQ para solicitud de cotización del Gobierno del Perú
  • - UY-0846-19-RFQ para solicitud de cotización del Gobierno de Uruguay

201907 img05

Figura 5. Identificación del sistema de Faux e-procurement suplantando a CompraNet (México).

 

201907 img06

Figura 6. ID de sistema de Faux e-procurement suplantado a Compras Electrónicas (Perú).

 

201907 img07

Figura 7. Identificación del sistema de Faux e-procurement suplantada a Compras Electrónicas (Uruguay).

 

 

Infraestructura de phishing

En esta campaña, los actores de amenazas aprovecharon seis dominios únicos que se resolvieron en tres direcciones IP distintas para alojar 16 páginas web diferentes que se hacían pasar por los gobiernos de México, Perú y Uruguay. Un análisis técnico de la infraestructura de amenazas descubrió al menos tres direcciones de correo electrónico sospechosas utilizadas por los actores maliciosos al configurar sus ajustes del Sistema de nombres de dominio (DNS) para la campaña de phishing.

Dominio 1

El 3 de junio de 2019, una persona llamada Eilmar Yefim Vilchez Herrera que usaba la dirección de correo electrónico evilchezh {at} gmail [.] Com registró el dominio corpenta [.] Com [.] Pe con el Registrador Nic.pe. Con una investigación encontramos, que este dominio está asociado con una empresa con sede en Lima, Perú, llamada Corpenta Seguridad Electrónica. Al realizar una búsqueda de Google en este dominio, una advertencia de seguridad del complemento del navegador web Norton Safe alerta a los usuarios de una amenaza de suplantación de identidad originada en un subdominio que alberga una página fraudulenta que se hace pasar por el Gobierno de Uruguay ubicada en <hxxp: // compras [.] Gub [ .] uy [.] corpenta [.] com [.] pe / seguro / verificar.html>. Probablemente, esto podría ser una señal de que el actor ha comprometido el sitio web para alojar páginas de phishing dirigidas a la Central De Compras Publicas (Perú Compras) y la Agencia de Compras y Contrataciones del Estado (Uruguay). Al momento de este informe, el dominio se resuelve en la dirección IP 173.212.248 [.] 4 (AS51167 - Contabo GmbH), ubicada en Alemania, que es un servidor utilizado por un total de 44 dominios. Se observó que varios de estos sitios alojaban páginas de phishing con temas de Microsoft Office365 tan recientes hasta el 30 de mayo de 2019.

201907 img08

 

Dominios 2, 3, 4, 5

Del 27 de mayo de 2019 al 30 de mayo de 2019, los dominios i1-i [.] Icu, i2-i [.] Icu, i3-4 [.] En línea y i3-5 [.] En línea se registraron con el Registrar NameCheap utilizando medidas de protección de la privacidad. Estos cuatro dominios fueron alojados por la dirección IP con sede en Rusia 37.0.123 [.] 217 (AS198310 - Pallada Web Service LLC). Una búsqueda DNS pasiva en esta dirección IP descubrió 379 dominios y subdominios de apariencia sospechosa que se utilizan con mayor probabilidad en campañas de phishing dirigidas a organizaciones del sector público y privado, como los Departamentos de Vivienda y Desarrollo Urbano de los Estados Unidos (HUD) y Transporte (DOT), YouTube y Adobe. Una comprobación de los registros de Inicio de Autoridad (SOA) de estos dominios identificó que compartían la misma dirección de correo electrónico elsyresh.official {at} gmail [.] Com. Una búsqueda Whois inversa en esta dirección de correo electrónico descubrió un total de 10 dominios creados por un solicitante de registro llamado Elsy Resh del 24 de octubre de 2018 al 28 de febrero de 2019 utilizando Registrar NameCheap. Basados ​​en la estructura de nombres del dominio, con toda seguridad podemos inferir que fueron empleados por el actor de amenazas para atacar principalmente a las agencias gubernamentales locales, estatales y federales de los Estados Unidos.

Dominio 6

El dominio umernasim [.] Com se registró el 9 de diciembre de 2017 con GoDaddy a una persona no especificada ubicada en Sindh, Pakistán, según los registros de Whois. Según los sitios de redes sociales Facebook, Twitter y LinkedIn, este dominio está asociado con Muhammad Umer. Nasim, el co-fundador de Travelezco Holidays. Es muy probable que el actor de amenazas haya comprometido este sitio web para alojar páginas de phishing que se hacen pasar por CompraNet (México), Central De Compras Publicas - Perú Compras y Agencia de Compras y Contrataciones del Estado (Uruguay).

El dominio está alojado en la dirección IP 134.119.176 [.] 46 (AS29066 - velia.net Internetdienste GmbH), ubicada en Francia, que es el host de 283 dominios en total. Una comprobación del registro SOA del dominio descubrió la dirección de correo electrónico rajaariz {at} gmail [.] Com, que probablemente sea específica de la persona relacionada con la campaña de phishing.

 

Conclusión

Esta última campaña de phishing es representativa de una tendencia creciente que hemos observado desde mediados de 2018 y está dirigida a empresas de todo el mundo que buscan oportunidades de contratación con gobiernos locales, estatales y federales. A menudo, este tipo de contratos gubernamentales son buscados por pequeñas y medianas empresas (PYMES) que carecen de los recursos para defenderse adecuadamente de ataques dirigidos u oportunistas. Recomendamos que las empresas actúen con cautela cuando reciban correspondencia no solicitada, especialmente cuando afirma ser de agencias gubernamentales que invitan a su compañía a presentar ofertas para proyectos públicos y educar a su personal sobre la detección y el manejo de ataques de phishing.

Referencias:

 

Apéndice A - Observables

Los siguientes indicadores de compromiso (COI) se pueden usar para identificar la actividad de phishing asociada con esta última campaña dirigida a individuos y empresas que intentan presentar ofertas en línea con los gobiernos de México, Perú y Uruguay.

Direcciones IP de phishing

Dirección IP de phishing

                              Agencia dirigida

37 [.] 0 [.] 123 [.] 217

CompraNet (México) 
Central De Compras Públicas - Perú Compras 
Agencia de Compras y Contrataciones del Estado (Uruguay)

134 [.] 119 [.] 176 [.] 46

CompraNet (México) 
Central De Compras Públicas - Perú Compras 
Agencia de Compras y Contrataciones del Estado (Uruguay)

173 [.] 212 [.] 248 [.] 4

Central De Compras Públicas - Perú Compras 
Agencia de Compras y Contrataciones del Estado (Uruguay)

 

Dominios de phishing

Dominio de phishing

                              Agencia dirigida

corpenta [.] com [.] pe

Central De Compras Públicas - Perú Compras 
Agencia de Compras y Contrataciones del Estado (Uruguay)

i1-i [.] icu

CompraNet (México) 
Central De Compras Públicas - Perú Compras 
Agencia de Compras y Contrataciones del Estado (Uruguay)

i2-i [.] icu

CompraNet (México) 
Central De Compras Públicas - Perú Compras

i3-4 [.] en línea

CompraNet (México) 
Central De Compras Públicas - Perú Compras 
Agencia de Compras y Contrataciones del Estado (Uruguay)

i3-5 [.] en línea

CompraNet (México)

umernasim [.] com

CompraNet (México) 
Central De Compras Públicas - Perú Compras 
Agencia de Compras y Contrataciones del Estado (Uruguay)

 

URLs de phishing

Página de phishing

Descripción

hxxp: // compranet [.] funcionpublica [.] gob [.] mx [.] seguro [.] umernasim [.] com

Página de suplantación de identidad (phishing) que simula el sitio de compras electrónicas de CompraNet del Gobierno de México

hxxp: // www [.] compranet [.] funcionpublica [.] gob [.] mx [.] seguro [.] umernasim [.] com

Página de suplantación de identidad (phishing) que se hace pasar por el sitio de compras electrónicas de CompraNet del Gobierno de México

hxxp: // www [.] compranet [.] funcionpublica [.] gob [.] mx [.] i2-i [.] icu /

Es probable que el directorio abierto se utilice en una campaña de suplantación de identidad (phishing) que se hace pasar por el sitio de compras electrónicas de CompraNet del Gobierno de México

hxxps: // compranet [.] funcionpublica [.] gob [.] mx [.] i3-5 [.] online / seguro / iniciarsesion.html

Página de suplantación de identidad (phishing) que se hace pasar por el sitio de compras electrónicas de CompraNet del Gobierno de México

hxxp: // compras [.] gob [.] pe [.] corpenta [.] com [.] pe /

Directorio abierto que aloja una página de compras electrónicas de phishing e-procurement del Gobierno del Perú

hxxp: // www [.] compras [.] gob [.] pe [.] corpenta [.] com [.] pe /

Página de suplantación de identidad (phishing) que se hace pasar por el sitio de compras electrónicas de Central De Compras Públicas - Perú.

hxxp: // compras [.] gob [.] pe [.] i2-i [.] icu /

Es probable que el directorio abierto se utilice en una campaña de suplantación de identidad (phishing) que se hace pasar por Central De Compras Públicas - Perú Compras.

hxxp: // www [.] compras [.] gob [.] pe [.] i2-i [.] icu /

Es probable que el directorio abierto se utilice en una campaña de suplantación de identidad (phishing) que se hace pasar por Central De Compras Públicas - Perú Compras.

hxxp: // compras [.] gob [.] pe [.] seguro [.] iniciar [.] umernasim [.] com

Página de suplantación de identidad (phishing) que se hace pasar por el sitio de compras electrónicas de Central De Compras Públicas - Perú.

hxxp: // www [.] compras [.] gob [.] pe [.] seguro [.] iniciar [.] umernasim [.] com

Página de suplantación de identidad (phishing) que se hace pasar por el sitio de compras electrónicas de Central De Compras Públicas - Perú.

hxxps: // compras [.] gob [.] pe [.] corpenta [.] com [.] pe / seguro / iniciarsesion.html

Página de suplantación de identidad (phishing) que se hace pasar por el sitio de compras electrónicas de Central De Compras Públicas - Perú.

hxxps: // www [.] compras [.] gob [.] pe [.] i1-i [.] icu

Directorio abierto que probablemente se utilice en una campaña de suplantación de identidad (phishing) que se hace pasar por el sitio de compras electrónicas Central De Compras Públicas (Perú)

hxxp: // compras [.] gub [.] uy [.] seguro [.] iniciar [.] umernasim [.] com

Página de suplantación de identidad (phishing) que se hace pasar por el sitio de contratación electrónica de la Agencia de Compras y Contrataciones del Estado (Uruguay)

hxxp: // i1-i [.] icu / compras [.] gub [.] uy / seguro / iniciarsesion.html

Página de suplantación de identidad (phishing) que se hace pasar por el sitio de contratación electrónica de la Agencia de Compras y Contrataciones del Estado (Uruguay)

hxxps: // compras [.] gub [.] uy [.] corpenta [.] com [.] pe / seguro / iniciarsesion.html

Página de suplantación de identidad (phishing) que se hace pasar por el sitio de contratación electrónica de la Agencia de Compras y Contrataciones del Estado (Uruguay)

hxxp: // www [.] compras [.] gub [.] uy [.] corpenta [.] com [.] pe /

Página de suplantación de identidad (phishing) que se hace pasar por el sitio de contratación electrónica de la Agencia de Compras y Contrataciones del Estado (Uruguay)

 

Números de serie del certificado SSL / TLS

  • 0x817821432022E2AA2C6BCFC3D5AF3FD2
  • 17188398438505402504623673040446410024
  • 30419363694306952632521027030109419465
  • 161868278914798070656287729984901928697
  • 31851535104979279631185987936163357406
  • 0xFBB76F806C1954BDD49AF246C2A70C35
  • 0xC12B0E24711EC65262B504EFFD8B23DC
  • 18857921343698645860117823470634184564
  • 13696788086272038093483090326891513040
  • 0x8EF723E1FC523A135FCE1E96320871E6
  • 0xF270B2D7A4B7BF51641091DABA7AECE1
  • 0x04320D303756969A7FE72B0F10242E0D2A76
  • 0xD71F2C03572C5AF5643C6274D65C007C