Scam IMSS

Page 1

Caso: Suplantación de identidad a IMSS A través de patrullaje en la red, se pudo detectar un clon de la página oficial del Instituto Mexicano del Seguro Social [ http://imss.gob.mx ( IP: 201.144.108.20 )], en el cuál se pueden realizar una variedad de consultas, trámites así como verificar el status de alguna solicitud. La página fraudulento en cuestión, intenta engañar al usuario mediante el uso de una URL muy parecida a la oficial; dada por: → http://www.lmssgob.mx – IP: 217.70.184.38 En la que se puede deducir: ✔ Se cambia la primera letra después del www, en la página oficial se aprecia http://www.imss.gob.mx (nótese la letra ' i ' [ i latina ]) ✔ La página fraudulenta no sigue esta nomenclatura por 2 razones:  La primera letra del dominio fraudulento es http://www.lmssgob.mx ( letra ' l ' [ ele ]) 

NO es un dominio de gobierno, ya que su terminación es .mx y no .gob.mx; sin embargo, tratan de utilizar dicho domino para hacerlo parecer confiable y fidedigno → www.lmssgob.mx

Información de WHOIS: $ whois -v lmssgob.mx Domain Name:

lmssgob.mx

Created On: 2012-10-24 Expiration Date: 2013-10-24 Last Updated On: 2012-10-24 Registrar: Gandi SAS URL: http://www.gandi.net/ Registrant: Name: Mauricio Felix City: Hermosillo State: Sonora Country: Mexico Administrative Contact: Name: Mauricio Felix City: Hermosillo State: Sonora Country: Mexico

Technical Contact: Name: Mauricio Felix City: Hermosillo State: Sonora Country: Mexico Billing Contact: Name: Mauricio Felix City: Hermosillo State: Sonora Country: Mexico Name Servers: DNS: b.dns.gandi.net DNS: c.dns.gandi.net DNS: a.dns.gandi.net



Al inspeccionar el código de dicha página falsa, se encuentra: 1. Un formulario en el cual se piden los siguientes datos: – Certificado Digital – Llave Privada

– Usuario – Contraseña

→ Código Javascript: Significa que si no se anexa el archivo con dichas terminaciones (.p12, .pfx o .cer) no se valida la forma por lo que es “imposible” adjuntar dicho archivo

2. Dentro de los meta de la página, se puede encontrar un contador para la descarga de un archivo supuestamente utilizado para actualización de plugins de Java:

Archivo a descargar al momento de terminar el tiempo de dicho contador. Contador a 5 segundos para luego proceder a la descarga


3. Es importante mencionar que en la línea 4:

➢ Se agregó automáticamente un comentario a la línea; en el cual se especifica que fué agregado por un servicio llamado HTTrack ( http://www.httrack.com/ )el cual se trata de un Software de Código Libre con el cual se puede clonar localmente cualquier página Web, en la cual el procedimiento que se está siguiendo es: → Se clona la página objetivo → Los estilos, así como los links periféricos son auténticos, para hacer más creíble la página. → La única edición que se da es en la forma de contacto, en la cual se editan las rutas al momento de ingresar datos para que los datos no sean enviados a los servidores del IMSS, sino del atacante que busca pasarse por dicha Web. 4. El archivo para “actualizar” Java en cuestión: http://www.lmssgob.mx/descargas/auth/imss/download.asp/javapolicy.exe Al inspeccionar dicho archivo, se analiza lo siguiente:


Se trata de un troyano bancario, el cuál su única función es inspeccionar por medio de expresiones regulares si se encuentran datos guardados tanto en el navegador como en el caché de las páginas para el robo de datos, cuentas e información. Dicho troyano es: Trojan-Spy.Win32.Zbot.gdlb Referencia: Kaspersky Labs → http://support.kaspersky.com/sp/faq/?qid=208280041 Esta muestra ha sido marcado por el banco de datos de Hispasec como un troyano bancario, es decir, un troyano que roba información bancaria para realizar transferencias no autorizadas a nombre de las cuentas atacante. Nombre de la familia: Zeus Este troyano roba credenciales de entidades financieras bancarias / u organizaciones. Resúmen: Zeus es una amenaza troyano diseñado para robar datos del sistema de la víctima. Es más conocido por robar información de la cuenta financiera por ejemplo, datos bancarios en línea de inicio de sesión y los datos de la cuenta. Una vez que el archivo binario infectado se instala en una máquina, se conecta a un servidor de comando y control, y también supervisa la actividad de Internet y archivos de datos robados. Datos técnicos:

ssdeep 3072:zhsVGOkYpXiz5ESo7ZNCPYZzKmPatSvuCvlTbU+N0:KV/cS7uYZz5dp4+u

TrID Win32 Executable Generic (38.4%) Win32 Dynamic Link Library (generic) (34.1%) Win16/32 Executable Delphi generic (9.3%) Generic Win/DOS Executable (9.0%) DOS Executable Generic (9.0%)

ExifTool MIMEType.................: application/octet-stream Subsystem................: Windows GUI MachineType..............: Intel 386 or later, and compatibles TimeStamp................: 1992:06:19 23:22:17+01:00 FileType.................: Win32 EXE PEType...................: PE32 CodeSize.................: 12800 LinkerVersion............: 2.25 EntryPoint...............: 0x3f10


InitializedDataSize......: 145408 SubsystemVersion.........: 4.0 ImageVersion.............: 0.0 OSVersion................: 4.0 UninitializedDataSize....: 0

Portable Executable structural information Compilation timedatestamp.....: 1992-06-19 22:22:17 Target machine................: 0x14C (Intel 386 or later processors and compatible processors) Entry point address...........: 0x00003F10 PE Sections...................: Name CODE DATA BSS .idata .tls .rdata .reloc .rsrc

Virtual Address Virtual Size Raw Size Entropy MD5 4096 12324 12800 6.51 e9d7551e4733933678daf419a7e48f24 20480 141664 141824 6.02 8fbc41dca1b124d6f91cdf2b0b52bfaa 163840 1645 0 0.00 d41d8cd98f00b204e9800998ecf8427e 167936 1270 1536 4.07 64a4a218ae1d12ff05a4d7e0a5768585 172032 8 0 0.00 d41d8cd98f00b204e9800998ecf8427e 176128 24 512 0.21 502b30e972b451804db54bdccf9f7699 180224 828 1024 5.82 39b17922b11700a0b6f614dd4b7e03e0 184320 512 512 2.35 9d64844a06233bf15fcb3aeff6d345e3

PE Imports....................: [[advapi32.dll]] RegOpenKeyExA, RegQueryValueExA, RegCloseKey [[shell32.dll]] SHBrowseForFolderW, ShellExecuteW, DragQueryPoint, SHGetSpecialFolderLocation, DragQueryFileA, SHFileOperationA [[kernel32.dll]] GetStdHandle, EnterCriticalSection, lstrlenA, GetModuleFileNameW, FreeLibrary, ExitProcess, GetThreadLocale, RtlUnwind, DeleteCriticalSection, GetStartupInfoA, GetLocaleInfoA, LocalAlloc, GetModuleHandleW, UnhandledExceptionFilter, GetCommandLineA, lstrcatW, lstrcpyW, RaiseException, GetModuleHandleA, WriteFile, GetCurrentThreadId, LocalFree, InitializeCriticalSection, VirtualFree, TlsGetValue, Sleep, TlsSetValue, GetVersion, VirtualAlloc, LeaveCriticalSection [[user32.dll]] UnregisterHotKey, MessageBoxA, GetKeyboardType, GetSystemMetrics PE Resources..................: Resource type RT_RCDATA

Number of resources 2

Resource language NEUTRAL 2

Number of resources


First seen by VirusTotal 2012-10-25 18:33:03 UTC ( 1 week, 6 days ago )

Last seen by VirusTotal 2012-11-07 19:22:54 UTC ( 3 minutes ago ) File names (max. 25) 1. 2. 3. 4. 5.

javapolicy.exe 9ce751c75c7dc57397a8efaf554 file-4689996_exe SAT_Aviso_Cero-2.0.exe Renuevacertificados.exe

> MinerĂ­a de datos de la URL maliciosa: domain: lmssgob.mx Creada apenas el 24 de Octubre reg_created: 2012-10-24 12:26:39 expires: 2013-10-24 12:26:39 del 2012 created: 2012-10-24 14:26:40 changed: 2012-10-24 15:19:39 transfer-prohibited: yes ns0: a.dns.gandi.net ns1: b.dns.gandi.net ns2: c.dns.gandi.net owner-c: nic-hdl: MF4544-GANDI owner-name: Mauricio Felix organisation: ~ person: Mauricio Felix address: "Blvd. Morelos #432\r\nCol Bachoco" zipcode: 83148 city: Hermosillo state: Sonora country: Mexico phone: +52.6622593108 fax: ~ email: ef4121601f85fe0b708b979fd7aa1534-1580469@contact.gandi.net lastupdated: 2012-10-24 14:18:27 admin-c: nic-hdl: MF4544-GANDI owner-name: Mauricio Felix organisation: ~


person: Mauricio Felix address: "Blvd. Morelos #432\r\nCol Bachoco" zipcode: 83148 city: Hermosillo state: Sonora country: Mexico phone: +52.6622593108 fax: ~ email: ef4121601f85fe0b708b979fd7aa1534-1580469@contact.gandi.net lastupdated: 2012-10-24 14:18:27 tech-c: nic-hdl: MF4544-GANDI owner-name: Mauricio Felix organisation: ~ person: Mauricio Felix address: "Blvd. Morelos #432\r\nCol Bachoco" zipcode: 83148 city: Hermosillo state: Sonora country: Mexico phone: +52.6622593108 fax: ~ email: ef4121601f85fe0b708b979fd7aa1534-1580469@contact.gandi.net lastupdated: 2012-10-24 14:18:27 bill-c: nic-hdl: MF4544-GANDI owner-name: Mauricio Felix organisation: ~ person: Mauricio Felix address: "Blvd. Morelos #432\r\nCol Bachoco" zipcode: 83148 city: Hermosillo state: Sonora country: Mexico phone: +52.6622593108 fax: ~ email: ef4121601f85fe0b708b979fd7aa1534-1580469@contact.gandi.net lastupdated: 2012-10-24 14:18:27


Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.