Un cliente de la empresa de hosting WebAir, detectó que sus sitios web habían sido atacados y crackeados por medio de vulnerabilidades de seguridad y estaban siendo utilizados en algún tipo de estafa online. Un conocido webmaster del blogger Martín Aberastegue se encontró con que un grupo de jóvenes brasileros estaban usando uno de sus dominios para robar información de usuarios de la red social Orkut y claves bancarias de clientes de los bancos Caixa Económica Federal y Bradesco.
Los atacantes modificaron los archivos index (php, html, etc.) agregando una porción de código Javascript que intenta explotar la vulnerabilidad en Microsoft Data Access Components (MDAC) que ejecutaba código de forma remota y descargar un virus troyano empaquetado con Themida. Agregaron además, tres carpetas con archivos que simulan ser la pagina de Orkut, red social muy usada por internautas de Brasil, Caixa Federal, Bradesco y algunas herramientas en PHP para atacar sitios web como c99shell.php. En todos estos casos los usuarios fueron redirigidos a dichas webs haciendo uso del envio de correos electrónicos con enlaces a los sitios web de cebo alojados en otros sitios web no fraudulentos pero con su seguridad comprometida tras el ataque de los crackers.
El robo de datos en la pagina de cebo que imitaba la red social Orkut se cometia invitando al usuario a visitar una comunidad de miembros VIP. Una vez ingresados los datos en la web falsa, los mismos eran enviados a una cuenta de correo de Gmail y a posteriori se redireccionaba al usuario a la comunidad antes mencionada.
// Configuracao de variaveis:
$mailto = e noisxx;
$mailtoaddr = so.alegriass@gmail.com;
$subject = /;
$redirectpage = http://www.orkut.com/Community.aspx?cmm=5554597;
Respecto al método usado para el fraude al banco Caixa Económica Federal, era similar aunque más peligroso porque no se trataba de los datos de acceso a un perfil de red social sino datos bancarios, claves para cuentas o tarjetas de crédito y débito. Para este banco el usuario es llevado hacia una copia de la web del banco en donde el único enlace funcional es el de la imagen que nos permite acceder a la banca en línea.
Los datos obtenidos son almacenados en archivos en texto plano cuyo nombre se corresponde con la fecha y hora del ingreso de la víctima.
$today = date(â€d-M-Y-H-i-sâ€);
$myFile = “../arquivos/†. $today.â€.txtâ€;
Esta información es enviada además via email a la dirección dos casillas de correo de Gmail luego redirecciona a una página de error.
$para = o.alegriass@gmail.com, rcricardonb1@gmail.com;
$assunto = CaixaNew [ “. $ip_usuario. ” ] œ;
La otra entidad bancaria afectada es Bradesco, en este caso el ataque dirige a una web de cebo que imita al sitio bancario auténtico y solicita la información de acceso a la banca al igual que los datos completos de la tarjeta necesaria para realizar operaciones en línea con este banco.
El sitio web era similar al de la entidad Bradesco salvo que unicamente funcionan los formularios creados para recolectar los datos privados de las victimas del fraude.
Una vez completados los datos son guardados y enviados por correo como en el caso anterior de Caixa Federal.
$today = date(d-M-Y-H-i-s);
$myFile = ../arquivos/ . $today..txt;
$para = so.alegriass@gmail.com;
$assunto = XDEXCO – . $ip_usuario. – . $today;
$boundary = strtotime(NOW);
$headers = From: XDESCO \r\n;
$headers .= De: XDESCO \r\n;
$headers .= To: $para <$para>\r\n;
Si conoces a algún brasileño o alguna persona que tenga cuenta en alguna de estas entidades avisale de este tipo de fraudes, seguro que te lo agradecerá.