miércoles, enero 02, 2013

Investigar el Spam de cuentas de amigos de Gmail (1 de 2)

Hoy no tenía ganas de levantarme. Era uno de esos días en los que, simplemente, no tienes ánimo para nada. Necesitaba despabilarme y alegrarme un poco, de modo que eché un vistazo al correo. Esa es mi terapia favorita. Siempre encuentro un mensaje divertido o que me hace sentir mejor: que si puedo comprar algo de moda al mejor precio, que si por cuatro perras me dan un título de Ingeniero en Física Molecular, que si puedo trabajar desde casa y hacerme rico, que hay docenas de mujeres de Europa del Este que no sólo me conocen sino que también querrían casarse conmigo, que si con un par de píldoras me puedo convertir en un amante superdotado…

Aparte de eso, a veces recibo correos de gente conocida. Lo que pasa es que, como éstos no me suelen contar cosas tan interesantes, suelo enviarlos a la carpeta de spam. Hoy, sin embargo, unos me llamaron la atención. Enviados por gente conocida, sí, pero sin asunto. Y con un texto de lo más curioso:

Figura 1: El spam que me llegó desde las cuentas de mis amigos de Gmail

¡Sólo un enlace! Cada mensaje tenía un enlace distinto. Los nombres de los servidores y las rutas variaban, pero el nombre del fichero era en todos “google.html” Otra cosa curiosa era que todos los envíos se habían realizado, al parecer, utilizando cuentas de Gmail. Y los envíos parecían legítimos.

Me puse al habla con algunos de los remitentes. La historia fue siempre la misma. Todas las personas de su lista de contactos habían recibido un “regalito” parecido. Uno de ellos añadió que había echado un vistazo y que varios de los mensajes habían sido enviados a una hora en que su PC y su móvil estaban apagados. También hubo algunas confesiones sobre que estaban utilizando contraseñas muy pobres.

En vista de lo cual es de sospechar que alguien haya estado probando contraseñas débiles en cuentas de Gmail. Y que las credenciales válidas obtenidas de este modo están siendo utilizadas para envíos de spam. Así que, ojito a las contraseñas de vuestras cuentas y revisad la lista de mensajes enviados.

También es más que probable tal y como funciona el mundo del Fraude Online, que los sitios web a los que conducen los enlaces de los mensajes sean sitios cuya seguridad ha sido comprometida. Sitios, por tanto, que nadie debería visitar sin tomar las medidas de protección apropiadas. Muchas medidas de protección, porque lo mismo les han calzado una página con propaganda, que un iframe con un PDF que le haga saltar las costuras al PC que lo visite o cualquier otro regalo desde un kit de explotación.

Moraleja: Si recibís estos correos, ni caso. Nada de hacer clic en el enlace. Y si os dicen que se enviaron desde vuestra cuenta, por si acaso, comenzad por cambiar la contraseña.

Siendo despreocupado como soy, he decidido echar un vistazo. Aunque estuvieran alojados en distintos servidores, los documentos a los que apuntaban las URLs eran todos iguales. Ahí va el código HTML:
<h1> You are here because one of your friends <br> have invited you.<br> Page loading, please wait.... </h1> <meta http-equiv="refresh" content="0; url=http://newsmarketnextgenonline5.com/?12/2">
En pocas palabras, te muestra un mensaje diciéndote que si estás ahí es porque algún amiguete (o alguna amigueta) te ha invitado mientras te redirige a otra página. En este caso:
http://newsmarketnextgenonline5.com/?12/2
¡Quieto parao! Ni se te ocurra visitarla, que esto no es de fiar. El dominio, “newsmarketnextgenonline5.com” fue creado el 21 de diciembre de 2012 por alguien que dice residir en Auckland (Nueva Zelanda), si bien seguro que se tratará de una identidad falsa.
http://dns.robtex.com/newsmarketnextgenonline5.com.html#whois
Como ya sabéis que lo mío es el hacking con buscadores, me hice la siguiente pregunta: ¿Qué sabe Google de este dominio? Pues, a primera vista, poco más que yo:

Figura 2: Google no cachea nada de los dominios que apareceren

No hay preview. No hay descripción para los enlaces. Ni título. Sólo nos indica que su robots.txt impide que haya más datos. Sospechoso. Demasiado cerrado. Uno de los enlaces coincide con el de mis correos. Y si se visita, redirige mediante una respuesta HTTP 302 (Movido Temporalmente) a Google (al menos cuando yo probé así hacía, que la cosa puede cambiar). En particular a:
http://www.google.com/?12/2
Curioso, cambia el nombre del dominio pero no el resto de la URL. Como cuando se intenta robar los contenidos de un tercero, y de camino su posicionamiento web, cara a los buscadores. Y a saber qué hará cuando el enlace se visite con un Referer o un User-Agent o desde una dirección IP determinada, tal y como funcionan las trucos de Cloacking en las técnicas de Black SEO.

Otra cosa llamativa era el final del nombre del dominio. Ese número 5… ¿existirá newsmarketnextgenonline1.com? ¿o newsmarketnextgenonline2.com? ¿o newsmarketnextgenonline3.com? ¿o newsmarketnextgenonline4.com? Sí que existen. Todos registrados el 21 de diciembre y con el mismo registrador. Y también los hay terminados en 6, 7, 8, 9 y 10, registrados el 25 de diciembre. Se ve que los registran de cinco en cinco (nada de rimas). Y si se busca en Google, salen cosas parecidas en todos ellos. Sin embargo, hubo algún detalle llamativo:

Figura 3: Información relativa a los dominios con números consecutivos

Se ve que existió algún escape y el título de una de las páginas sí aparece entre los resultados de Google. Y la cosa parece que tiene relación con extrañas ofertas de trabajo. “Mamá gana 6795 dólares al mes trabajando a tiempo parcial”, dice. Y yo me pregunto si este tipo sabrá en qué trabaja su mamá. Quizá sea mejor que no… Esto de los “escapes” de datos ya lo he visto en más de una ocasión. Quizá cosa de principiantes, quizá consecuencia de que se consigue tanto dinero y se tiene tanto trabajo que no puede estar en todo. Pero eso es tema para otra ocasión… Seguí a la búsqueda de posibles filtraciones. Y me encontré con otras curiosidades, como esta cuenta de Twitter para distribuir malware.

Figura 4: Un bot de Twitter para distribuir malware

La cuenta es relativamente antigua, pero estuvo bastante tiempo sin actividad. Y, de golpe, a finales de este año vuelve a publicar twits, todos con su enlace acortado. Quizá otro caso de cuenta pillada por alguien por tener una contraseña poco consistente. O por depender de una cuenta en Gmail con el mismo problema. Una historia que se repite con cierta frecuencia y con la que uno se encuentra varias veces a poco que se investiguen los dominios antes citados.

Los enlaces más recientes apuntan a diversos sitios con WordPress, todos ellos con un fichero con ruta “/wp-contents/plugins/akismet/justdoit.php”. Siguiendo uno de ellos, se termina con una redirección HTTP 302 a: http://newsmarketnextgenonline2.com/?38/1 Otro lleva a: http://newsmarketnextgenonline5.com/?38/1 Viejos conocidos, al parecer...

Curiosamente, antes de comenzar con esta “carrera”, el 11 de noviembre se publicó un twit con un enlace a http://www.delicious.com/redirect?url=http://www.delicious.com-26.us/go/?35967 … que termina llevando a http://www.msnbc.msn.com-52.us/id/?23267

Figura 5: Un artículo distribuido como spam

La imagen trae de nuevo a la palestra lo de las ofertas de trabajo. Y nos habla de la historia de Patricia Feeney, de Houston, una triunfadora en la vida gracias a su método para ganar dinero. Pero, dejando eso de lado por ahora, el uso de dominios terminados en “com-26.us” y “com-52.us” es, al menos, curioso. Cualquiera podría pensar que se usan para engañar al personal.

Y si se busca información sobre ellos, aparecen cosas aún más extrañas. Como que el pantallazo mostrado para “com-52.us” en “Website Informer” se corresponde con una página de igual apariencia que la anterior, con el mismo gráfico o uno muy parecido, y el mismo texto, hasta donde se puede ver. Eso sí con autor o autora distinto y otro título:

Figura 6: Análisis con Website Informer

Aparece también la persona propietaria del dominio. ¿Será falsa su identidad? Quizá sí, quizá no, pero se ve que tiene un montón de dominios dedicados a temas de eso del empleo, y que tratan de pasar por pertenecientes a msnbc.com que, por si alguien no lo sabe, es propiedad de Microsoft:

Figura 7: Best and Worst Jobs. Curioso.

Esto se está poniendo entretenido, así que vamos a seguir investigando esto un poco más, a ver qué sale de esta historia.

Saludos.

Enrique Rando

**************************************************************************************
Investigar el Spam de cuentas de amigos de Gmail (1 de 2)
Investigar el Spam de cuentas de amigos de Gmail (2 de 2)
**************************************************************************************

4 comentarios:

Alberto J. Sánchez Sanz dijo...

Interesante... Curiosamente el otro día me llegó un DM de una amiga en Twitter con el link de los mejores empleos etc., ese de Patricia Feeney que se hace pasar por una web de Microsoft.

Kepa iNKuBo dijo...

A mi me ha llegado tambien basura de un colega y no se por donde empezar a estudiarlo...

http://iranmontreal.com/patchybethlehem/

lIXl81jMpA/

lo pongo separado no vaya a ser que alguien lo mire y se infecte.

Javi dijo...

Interesante!!

Anónimo dijo...

Al parecer ahora hay mas información del sitio en google

Eleven Paths Blog

Seguridad Apple

Entradas populares