Cazador cazado

domingo, 18 de abril de 2010

Casi todos los días, si no son todos, se me cuelan en la bandeja de entrada algunos correos publicitando páginas web que nos cuentan fórmulas mágicas para adelgazar, o para hacer crecer...el cabello, o donde nos invitan a conocer chicas fáciles dispuestas a complacer nuestras más oscuras perversiones.


Suele ocurrir que el remitente de dicho correo basura pertenece a nuestra lista de contactos, por ello pasa nuestros filtros de spam.
No es que nuestros amigos lo envíen conscientemente, pero el malware instalado en sus máquinas sí lo hacen.

Esta misma tarde estaba revisando el correo cuando me he encontrado con el siguiente correo de una amiga:
"¡Fotos de su puerca en myspace privado!"
Enlace

Creo conocer bien a mi amiga, y cuando he cargado dicho enlace en el navegador he confirmado que sí, que era spam (que decepción ;d).
Como estaba sólo en casa y no tenía nada que hacer, investigué un poco el supuesto enlace, este enlace que me invita mi amiga a visitar, es el siguiente:
http://amigos2010.webcindario.com/

Una vez carga en el navegador, el contenido mostrado difiere poco del que muestra hotmail para acceder a nuestro correo, sin embargo, dejando aparte que la URL es http://amigos2010.webcindario.com, el diseño de la Scam no está muy conseguido, en la esquina inferior izquierda puede leerse 2007 Microsoft Corporation.



Webcindario es un hosting gratuito ofrecido por Miarroba, cualquiera puede registrarse y subir su propias páginas web.

Lógicamente lo primero que hize fue ver el código fuente de la página a ver dónde iban los datos que escribiésemos en el formulario, centrándome en lo siguiente:
form name="f1" method="post" target="_top" action="login.live.php" onSubmit="return WLSubmit(this)"> ........
Fijémonos en action=login.live.php , pués define a donde se envían los campos del formulario, en este caso a login.live.php, es decir a: http://amigos2010.webcindario.com/login.live.php

Suponemos logicamente que el fichero php contiene código PHP que guarda nuestro nombre y password en una base de datos a través de MySQL, o quizás ha optado por lo más cómodo y lo guardará directamente en un fichero txt.
Observación para no perderse: PHP es una tecnología orientada al servidor, lo que implica que cuando el cliente pide el fichero.php al servidor el código PHP contenido en este fichero se ejecuta en el servidor, no se envía al navegador del cliente (aunque se puede escribir mediante PHP contenido que deseemos enviar al navegador).

Lo único que sabemos del fichero php es que devuelve al navegador el siguiente código:
meta http-equiv='Refresh' content='1;url=http://www.hotmail.com'>Resumiendo, una vez que introducimos un nombre y contraseña en el formulario y pulsamos sobre el submit, el navegador se redirige (enviando también los datos del formulario) a login.live.php, el cuál a su vez nos redirige a la hotmail.com verdadera. Acabas finalmente en www.hotmail.com, eso sí, los datos del formulario ya han sido procesados por http://amigos2010.webcindario.com/login.live.php .

Lo primero que he intentado es buscar más posibles ficheros php o txt alojados en la página web, primero he probado con los típicos nombres de fichero que se le podían haber ocurrido al autor de la página:
http://amigos2010.webcindario.com/password.txt
http://amigos2010.webcindario.com/cuentas.txt
http://amigos2010.webcindario.com/pass.txt
http://amigos2010.webcindario.com/admin.php
.........

Como no he dado con nada, he usado OWAP DirBuster que busca nuevos directorios y archivos en una web probando con una lista de palabras que introduzcamos, o a través de fuerza bruta si se prefiere.
Como empezaba el partido de mi atleti ;) he dejado puesto Dirbuster buscando archivos php y txt a través de los nombres contenidos en una lista extensa (la que viene con el mismo programa) en nuestra querida web maliciosa. Al volver me he encontrado con esto:



Si cargamos en nuestro navegador http://amigos2010.webcindario.com/amigos.txt vemos la lista de emails con sus password capturados por la página maliciosa, son bastante pocos (una treintena), seguramente haya sido alguien que montó la página copiando la idea de algún tutorial e invitó a mi amiga a visitarla, y a partir de ahí utilizó su mail. Esto último parece lo más probable, pero no me he puesto a investigar más.
Un par de nombres de correos de los que aparecen en el txt son obscenos, así que me hago la idea aproximada de la estrategia utilizada por el autor de la página.

Esto es todo, ya he denunciado la web a miarroba y avisado a los usuarios para que cambien la contraseña. También como ya dije estoy preparando un nuevo blog, micropolaris.blogspot.com, todavía está en construcción, y preveo será muy interesante ;).

ED: La última vez que he mirado el txt (antes de irme a dormir) estaba vacío, lo han limpiado. Mañana miraré de nuevo.
ED2: Ya no están ni el fichero login_live.php ni el fichero txt.
ED3: Ya se ha retirado la web, el nombre de dominio ha quedado libre en webcindario.

0 comentarios:

Publicar un comentario