Más de 39 millones de usuarios en México son blanco de ataque
¿Recibiste mails no solicitados de tiendas departamentales (Liverpool, Soriana, Walmart, etc.), instituciones gubernamentales (SAT, CFE, etc.), bancos o de empresas de paquetería como Estafeta o DHL durante al menos los últimos dos años? Si tu respuesta es sí, seguramente estás dentro de los 39,901,389 de usuarios que han sido blanco de este ataque (al momento de escribir la nota) y que, seguramente aumentará durante el paso del tiempo.
El día de hoy, me desperté con la notificación en mi celular, de que una de mis cuentas de correo electrónico había sido detectada en una brecha de seguridad, mi primer pensamiento fué “¿Y ahora, a quien hackearon?”
Generalmente este tipo de notificaciones me llegan cuando alguno de mis datos (donde se incluye alguno de mis correos o donde alguno de estos datos puede ser ligado a mí) fué extraido del hackeo a algún servicio o cuenta en la que alguna vez me registré o del cual soy miembro, ejemplo de esto fue el hackeo de Twitter este mismo año, LinkedIn en el 2016, Gravatar en el 2020, Adobe en el 2013, DropBox en el 2012 entre otros.
Pero en esta ocasión no fué así… para mí fué algo de menor preocupación pero algo muy alertante para todos los usuarios mexicanos y sobre todo para usuarios con mínimos conocimientos o mínimos cuidados; y es que se trata de una lista de cuentas de correos mexicanas activas que se han estado usando desde al menos hace 2 años como blanco para hacer el robo de sus cuentas bancarias, robo de información de sus computadoras y manipulación de las mismas.
Al revisar la notificación, veo que se adjunta un estudio publicado el 16 de Julio del año en curso el cual, indica que durante al menos, 2 años, se ha llevado a cabo un sofisticado ataque para el robo de cuentas bancarias de usuarios mexicanos, ataque que, utiliza la lista de los 39,901,389 usuarios mexicanos.
El mismo estudio hace el cálculo estimado de un robo de $55 millones de pesos donde al menos ha habido 140 victimas de este ataque solamente en los últimos dos meses.
El ataque utiliza un amplio arsenal de herramientas contra las víctimas, aunque su objetivo final es obtener acceso a las cuentas bancarias de las víctimas.
Las siguientes imágenes muestran una mínima cantidad de ejemplos de los correos falsos que se envían en este ataque (Las imagenes son solo pocas de las que tengo recopiladas para efecto de investigación y mejora de mis filtros de spam para mis servidores):
Como pueden ver en las imagenes, siempre vienen de cuentas de correos hackeados e incluso algunos de ellos van mas allá haciendolos pasar por cuentas reales, la mayoria piden hacer clicks mientras otros incluyen los adjuntos en pdf o en zips.
Aunque el estudio indica de que el ataque se ha llevado a cabo durante 2 años (o al menos), como pueden ver en mis imágenes, tengo correos desde el 2020, mis imágenes solo fue una busqueda rápida para esta publicación de todo lo que tengo de investigación.
¿Me debo de preocupar? ¿Que me pueden hacer? ¿Me han robado mi cuenta? ¿Como funciona? ¿De donde sacaron mi correo?
Vamos por lo que a mucha gente le interesará de esto y luego pasemos a lo complejo.
¿De donde sacaron mi correo?
La lista de correos se pudo obtener de otros hackeos o brechas como los que mencioné al principio, de correos cadena, mediante directorios, de servicios que muestren el correo como dato público del usuario, de listas compradas a empleados de empresas, etc; por tal motivo, nuestra preocupación no debe de ser de donde sacaron el correo ó si era específicamente a tí a quien querían atacar, el correo se pudo obtener de miles de lugares y formas y tampoco eras tu un blanco específico, simplemente tu correo entró en esa lista de blancos aleatorios los cuales -eso si- son los usuarios mexicanos.
¿Te debes de preocupar?
Si, si abriste uno de esos correos aleatorios que te llegaron a tu bandeja, si y si además, usas portales bancarios en tu pc, deberías de dejar de hacer todo lo que estás haciendo e incinerar todos tus equipos, jajaja, no tampoco es para tanto, pero si acudir con tu técnico de confianza y pedir un formateo con un buen antivirus (ORIGINAL) y meter todos los programas ORIGINALES así como realizar el cambio de TODAS tus contraseñas.
¿Como funciona?
Sin entrar en temas técnicos, te mandan un correo (falso obviamente) donde en la mayoría de los casos intentan hacerte creer que xxxx comercio (generalmente son tiendas departamentales o comercios de compras en linea) te ha emitido una factura/cfdi, te indican un monto por dicha factura y te hacen mención de que el pdf y el xml de dicha factura de encuentra en el archivo “zip” adjunto al correo; en otros casos, los correos suelen decir que te ganaste un premio de xxx comercio y adjunto se incluye el cupón para canjear o certificado de regalo, tambien envían correos de paqueterías indicando que tienes que pagar alguna cantidad (minima) por servicios aduanales, comunicados del sat, entre infinidad de cosas que son de ocurrencia de los atacantes, siemple incluyen archivos adjuntos o ligas a sitios web para descargarlos o en el caso mas sofisticado, ligas a sitios web con códigos maliciosos.
También te pueden mandar mails de contratos, de pagos, supuestas fotos e incluso los correos pueden venir de contactos tuyos que pudieron ser víctimas a los cuales, ya les robaron sus contraseñas de correo.
Al abrir dichos archivos adjuntos tu estás abriendo “el virus” y dando permiso al mismo a instalarse y ejecutarse en tu computadora y con eso dejas de convertirte en blanco y te vuelves en víctima del ataque.
Como podemos ver, la imaginación y el ingenio al enviar los correos es el límite y mandando mails a todas esas millones de cuentas, mas de alguno “cae” en el engaño.
¿Que me pueden hacer?
Debido a que ya abriste “el virus”, nuevamente, sin entrar en cosas técnicas, les estás entregando tu dispositivo con lo cual, los autores de este ataque, obtienen toda la información de tu dispositivo y manipulan tus navegadores para que, cuando entres a tu portal bancario, el virus ya instalado, se robe todas las credenciales de acceso y la envía a los atacantes.
Con esta información, los atacantes pueden simular la sesión abierta de tu portal bancario en otro dispositivo y así poder realizar transacciones como si fueras tu; pueden incluso manipular tu navegador para que al momento de que tu hagas una transacción puedan ellos cambiar las peticiones y mandarla a otro lado y adicionalmente obtienen tus contraseñas de otros lugares a donde inicies sesión o de tus cuentas de correo.
¿Me han robado mi cuenta o mi dispositivo está infectado?
Es dificil contestar esta pregunta, la respuesta es mas facil que la tengas tú si recuerdas alguna vez haber abierto adjuntos a estos correos, los antivirus pueden detectar dichos archivos o puede que no, e incluso, por lo que se ha podido ver, este ataque tiene reconocimiento de antivirus (te lo cuento mas abajo); puedes revisar tus cuentas bancarias y revisar si encuentras movimientos extraños y, si quieres estar seguro, lo ideal sería que formateras tu equipo, compraras licencias (si tu equipo cuenta con cosas piratas), compraras un antivirus y cambiaras todas tus contraseñas.
Detalles sobre el ataque (lo que solo a pocos les interesará)
Ahora la parte que no a todos les interesará y para mí, aquí empieza lo interesante de este ataque.
Si bien, la finalidad del ataque son las cuentas bancarias, para realizar este ataque se requieren recursos, que, por obvias razones deben de ser recursos que no se puedan ligar a los atacantes y aquí es donde entra todo lo sofisticado del ataque, y es que no solo envían correos con adjuntos esperando a que el usuario lo abra; el ataque se realiza en varias capas o partes que a su vez, requieren de otros servicios para poder realizarlo con éxito.
Estos recursos se resumen en servidores de correo y servidores web, los cuales servirán para enviar los correos y para descargar los payloads y subir la información. El dinero no creo que sea problema para estas personas, según la investigación de este ataque, al menos en los últimos dos años, se estima que han generado, o mas bien dicho, robado alrededor de 55 millones de pesos. -La información yo la tomaría con pinzas, ya que el estudio comenta que esta cifra la obtuvieron de los servidores que se mantenían activos al momento de la investigación y solamente de los que pudieron encontrar, donde, los datos mas antiguos datan de 2 años atrás, y, el calculo lo hicieron sumando el balance de las cuentas bancarias comprometidas al momento del ataque los cuales son datos que almacenan (o almacenaban) dichos servidores-
Los atacantes utilizan servidores de terceros, esto, para no poder ser rastreados directamente, para obtenerlos, los mismos atacantes hackean servidores y páginas web vulnerables así como cuentas de correos que obtienen de los mismos ataques ó mediante fuerza bruta para obtener acceso a correos con contraseñas simples. Por lo tanto, el ataque comienza desde que recaudan servidores y cuentas de correo para usarlos a su beneficio.
El ataque funciona de la siguiente manera:
- Obtienen recursos, servidores, sitios web y cuentas de correo.
- Cargan sus archivos en los servidores y sitios web a los que tienen acceso.
- Realizan, obtienen y mantienen actualizada una lista de correos activos de los que serán los blancos.
- Mandan la campaña de correos falsos a la lista, esperando a que mas de alguno abra los adjuntos utilizando las cuentas de correo a las que ya tienen acceso.
- El adjunto se instala en el dispositivo del usuario y se complementa descargando las instrucciones o payloads desde los servidores y webs donde subieron los archivos.
- Suben información a los mismos servidores y páginas web a las que tienen acceso.
- Descargan la información obtenida y la usan para obtener mas recursos y el dinero de las cuentas bancarias.
¿Como se sabe que el blanco son los mexicanos?
El análisis y funcionamiento a detalle del ataque incluye instrucciones donde solamente se ejecuta bajo ciertas condiciones:
- La ip del usuario es mexicana.
- El idioma del sistema operativo es español o portugues su configuración del teclado es latinoamérica, España, México o Portugal.
- Contiene listeners para el navegador donde se indican los nombres de los bancos mexicanos.
El análisis/estudio
El análisis o estudio, no lo realicé yo, este post es solo un super resumen en español de la publicación que realizaron las personas que hicieron el estudio agregando detalles sobre mis conocimientos y la experiencia e información que tengo sobre estos correos que mis clientes y yo hemos llegado a recibir; en mi caso, la información que obtengo de estos correos que llegan la utilizo para crear y mejorar mis filtros de correo para proteger a mis clientes de estos ataques.
El estudio completo fué publicado en esta página (en inglés) donde podrás ver todo el detalle de este sofisticado ataque: https://perception-point.io/blog/manipulated-caiman-the-sophisticated-snare-of-mexicos-banking-predators-technical-edition/
Por mi parte, ya me he puesto en contacto con las personas que realizaron el análisis de este sofisticado ataque para brindarles mayor información de datos que yo he estado recabando y analizando desde tiempo atrás que quizás les puedan servir para expandir su estudio e identificar cosas que yo, como proveedor de hosting, he encontrado y que ellos como analistas externos pudieron dejar atrás o su enfoque pudo haber sido solamente en algunos correos que vieron cuando en realidad yo he visto y tengo cientos de correos distintos a los mencionados en el estudio.
