En los últimos días se están produciendo varios ataques phishing específicos contra entidades españolas especialmente agresivos a través de un kit que comprende a muchos bancos españoles. No sólo simulan ser la página del banco, sino que además intentan infectar al sistema que lo visita de una manera nada trivial.

La pasada semana, se detectó en Hispasec un kit de phishing que afectaba a 35 entidades españolas, todos en un mismo servidor. Horas más tarde, el mismo kit se encontraba ya alojado en varios servidores distintos, lo que ya indica cierta insistencia de los atacantes. Lo importante en este caso es que además se está intentando infectar a quien lo visita, de forma que no sólo es víctima quien introduce los datos en la página falsa.

En los últimos días se están produciendo varios ataques phishing específicos contra entidades españolas especialmente agresivos a través de un kit que comprende a muchos bancos españoles. No sólo simulan ser la página del banco, sino que además intentan infectar al sistema que lo visita de una manera nada trivial.

La pasada semana, se detectó en Hispasec un kit de phishing que afectaba a 35 entidades españolas, todos en un mismo servidor. Horas más tarde, el mismo kit se encontraba ya alojado en varios servidores distintos, lo que ya indica cierta insistencia de los atacantes. Lo importante en este caso es que además se está intentando infectar a quien lo visita, de forma que no sólo es víctima quien introduce los datos en la página falsa.

A través de un JavaScript y según el navegador, la página intenta ejecutar código y hacerse con el sistema. En algunos casos, lo único que intentan es desestabilizar el navegador realizando ataques de JavaScritp, con el único propósito de que sea necesario reiniciar la máquina. Los phishing suelen estar alojados en páginas legítimas comprometidas, normalmente en algún directorio interno de la web. La estructura suele ser: http://www.XXXXX.ZZ/XXXX/s/(banco).

Las entidades a las que pretende simular son: Caja Castilla La Mancha, Bancaja, Banca March, Bankinter, Bankoanet, BBK, BBVANet, Banco Guipuzcoano, Caixa Catalunya, Caixanova, Caja España, CajaMadrid, CajaMurcia, CajaSur, Caja Mediterraneo, Caja Canarias, Caja Navarra, Deutsche Bank, Caixa Geral, Banco Herrero, IberCaja, ING Direct, Kutxa, Caixa d´Estalvis Laietana, Caixa Ontinyent, OpenBank, Caja Rural, Banco Sabadell, Solbank, Caixa Tarragona, Unicaja, Banco Urquijo, VitalNet.

En estos momentos, al menos un servidor sigue activo y casi toda su infraestructura (donde se aloja el malware) también. Se recomienda a los receptores de estos correos no seguir ningún enlace, ni aunque se conozca que se trata de un phishing y se pretenda simplemente reportar el incidente, además de actualizar el sistema y el antivirus.

El ataque está fuertemente ofuscado, con JavaScripts cifrados que intentan descargar y ejecutar diferentes binarios en una especie de laberinto de redirecciones. Se han encontrado hasta 6 ejecutables distintos, todo malware bancario destinado a Windows, y con muy diferentes niveles de detección en VirusTotal según el archivo. De una forma bastante agresiva, el ataque parece intentar aprovechar vulnerabilidades del navegador para la ejecución de código.