La técnica del “Rock Phish” incrementa el tiempo de actividad de los sites de phishing



Trend Micro Incorporated, líder en servicios y software antivirus para redes y seguridad de contenidos en Internet, informa de que detrás de las avalanchas de phishing se encuentra la creciente popularidad de una técnica específica y una serie de herramientas conocidas como "Rock Phish". Se trata de una estructura tecnológica sofisticada que ayuda a los criminales a crear y realizar ataques de phishing.

Los creadores de Rock Phish tienen la seria intención de defraudar a la gente y de ocultar los sites de phishing utilizando un "flujo rápido" para mantener estos websites de phishing activos durante un período más largo de tiempo. El flujo rápido es una técnica de cambio de DNS empleado para ocultar los sitios de phishing detrás de una red de ordenadores comprometidos y en constante cambio que actúan como proxies.

Durante la "Cumbre de Investigadores de Crimen Electrónico", el Anti-Phishing Work Group (APWG) comunicó que el Rock Phishing está presente en casi la mitad de los intentos de phishing registrados. El APWG sugiere que si este grupo está utilizando realmente la técnica del flujo rápido, los sitios de phishing probablemente permanezcan activos durante períodos más largos para atraer a más víctimas.

De acuerdo con Jamz Yaneza, Gerente del Proyecto de Investigación de Amenazas de Trend Micro, "un sitio de Rock Phish podría estar hospedado en Ucrania, con un proveedor de servicios de Internet en Rusia, y los controladores ubicados en Estonia. Los profesionales de la seguridad y las autoridades no pueden eliminar estos sites con la suficiente rapidez provocando con esto que más gente pueda recibir los correos electrónicos de phishing y, por tanto, que las visitas al sitio de phishing se incrementen elevando la efectividad de la campaña".

El Content Security Web Blocking Team de Trend Micro estima que la media diaria de URLs de Rock Phishing oscila entre las 20.000 y 60.000, y su número sigue creciendo. La mayoría de estas URLs están hospedadas en las mismas direcciones IP.

Además de los kits de Rock Phish, los creadores de phishing ahora también comercializan un kit conocido como el "kit universal de phishing "man-in-the-middle" *. Esta nueva herramienta ayuda a estos delincuentes a reunir más información personal al permitir que las potenciales víctimas se comuniquen con un sitio web legítimo usando una dirección URL falsa creada por ellos mismos. Similar al Rock Phish, los kits universales de phishing proporcionan a los usuarios una interfaz gráfica de usuario (GUI) basada en web para crear un site parecido a la web legítima a la que los phishers están atacando. La web falsa se comunica con la legítima y carga sus páginas originales. Mientras, la víctima potencial y el sitio web legítimo siguen comunicándose, pero el creador de phishing roba la información del usuario a través del sitio apócrifo.

Recientemente, el Rock Phish introdujo un nuevo código malicioso para robar información conocido como Troyano Zeus. Esta amenaza pide a los usuarios instalar un "certificado digital" si desean tener acceso a la página para iniciar la sesión de un banco, también creado por Rock Phish. El equipo de Seguridad de Contenido de TrendLabs ha descubierto varios "certificados maliciosos" detectados como "TSPY_PAPRAS.AC" y "TSPY_PAPRAS.AD", que son código de spyware que tiene como blanco los bancos Comerica Bank México y Colonial.

El phishing tradicional incluye mensajes de correo electrónico que conducen a los usuarios a un sitio web falso que se asemeja a las páginas de inicio de sesión de ciertas instituciones o compañías. En este caso, los Rock Phishers están reuniendo información personal de los usuarios sin siquiera solicitarles que inicien sesión en una página web falsa. Esto se logra mediante la colocación de un programa espía en los sistemas de los usuarios para que cualquier acción relevante pueda transmitirse a un servidor remoto. Los usuarios que no están protegidos corren el peligro de perder información crítica.

Este desarrollo reciente refuerza la necesidad de recordar a los usuarios que extremen las precauciones a la hora de pinchar en los enlaces incluidos en los correos electrónicos y mantener sus soluciones de protección actualizadas.

*Nota: Un ataque "Man-in-the-Middle" (MitM) es un ataque en el que el enemigo adquiere la capacidad de leer, insertar y modificar a voluntad, los mensajes entre dos partes sin que ninguna de ellas conozca que el enlace entre ellos ha sido violado. (Fuente: Wikipedia).

Fuente