Hacienda llama a tu correo

Que grata sorpresa, abrir mi correo electrónico y encontrarme un email en la bandeja de entrada de Hacienda (que somos todos), comunicándome que soy "elegible" para recibir una compensación de 186.80 euros.

Vamos mejorando en la composición e imitación de estos correos maliciosos, ya no los escriben monos que no saben ni escribir en castellano, por lo que resultaban totalmente inverosímiles. Pero indicarme que soy "elegible", "elegible" ¿de qué?, no he sido seleccionado para un concurso o algo así. Además si soy "elegible", no he sido elegido, sino que estoy en el bombo simplemente. Bueno, sin darle más importancia al tema, veamos las propiedades del correo, miremos en su interior:

Cabecera de datos:

Delivered-To: asf@sadfaec.com Received: from misiva24.acens.net (localhost [127.0.0.1]) by localhost (Postfix) with SMTP id 382BA296F3D for sadfaec.com>; Tue, 1 Sep 2009 17:44:57 +0200 (CEST) Received: from correo12.acens.net (rs-0-218.acens.net [217.116.0.218]) by misiva24.acens.net (Postfix) with ESMTP id CC32A296F39 for <asf@sadfaec.com>; Tue, 1 Sep 2009 17:44:56 +0200 (CEST) Received: (qmail 21571 invoked from network); 1 Sep 2009 15:44:56 -0000 Received: from unknown (HELO smtp.cantina1511restaurant.com) ([98.21.125.138]) (envelope-sender ) by correo12.acens.net (qmail-ldap-1.03) with SMTP for <asf@sadfaec.com>; 1 Sep 2009 15:44:56 -0000 Received: from User ([72.17.174.90]) by smtp.cantina1511restaurant.com with Microsoft SMTPSVC(6.0.3790.3959); Tue, 1 Sep 2009 11:44:53 -0400 Reply-To: From: "Agencia Tributaria" Subject: Reembolso de Impuestos Date: Tue, 1 Sep 2009 11:44:53 -0400 MIME-Version: 1.0 Content-Type: text/html; charset="Windows-1251" Content-Transfer-Encoding: 7bit X-Priority: 3 X-MSMail-Priority: Normal X-Mailer: Microsoft Outlook Express 6.00.2600.0000 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000 Return-Path: impuestos@aeat.es Message-ID: X-OriginalArrivalTime: 01 Sep 2009 15:44:54.0101 (UTC) FILETIME=[2659C850:01CA2B1B] To: undisclosed-recipients:; X-PMX-Version: 5.5.7.378829, Antispam-Engine: 2.7.2.376379, Antispam-Data: 2009.9.1.153318 X-PMX-Spam: Gauge=X, Probability=12%, Report=' CTYPE_JUST_HTML 0.848, HTML_70_90 0.1, CHARSET_CYRILLIC_NO_CYRILLIC 0.05, BODY_SIZE_5000_5999 0, BODY_SIZE_7000_LESS 0, CHARSET_W1251_NOT_CYRILLIC 0, FORGED_MUA_OUTLOOK 0, LINK_TO_IMAGE 0, RDNS_GENERIC_POOLED 0, RDNS_POOLED 0, RDNS_STATIC 0, RDNS_SUSP 0, RDNS_SUSP_SPECIFIC 0, SPF_NONE 0, TO_UNDISCLOSED_RECIPIENTS 0, USER_AGENT_OE 0, __CHARSET_IS_CP1251 0, __CT 0, __CTE 0, __CTYPE_HTML 0, __CTYPE_IS_HTML 0, __HAS_HTML 0, __HAS_MSGID 0, __HAS_MSMAIL_PRI 0, __HAS_XOAT 0, __HAS_X_MAILER 0, __HAS_X_PRIORITY 0, __HTML_BOLD 0, __MIME_HTML 0, __MIME_HTML_ONLY 0, __MIME_VERSION 0, __OUTLOOK_MUA 0, __OUTLOOK_MUA_1 0, __PHISH_SPEAR_STRUCTURE_1 0, __RDNS_POOLED_9 0, __RECEIVED_FROM_USER 0, __RUS_HASHBUSTER_1251 0, __SANE_MSGID 0, __STOCK_PHRASE_7 0, __TAG_EXISTS_HTML 0, __TO_MALFORMED_3 0, __URI_NS , __USER_AGENT_MS_GENERIC 0'

Podemos ver varios detalles en la cabecera. Muy bien lo de envelope-sender (impuestos@aeat.es) o el campo "From" y "Reply". Pero el X-Mailer es Outlook Express 6 y no creo yo que este tipo de correos automatizados se envien mediante este software uno a uno. Lo más simpático es lo de smtp.cantina1511restaurant.com, aquí ya la hemos armado gorda. El SMTP de hacienda se llama cantina1511restaurant (AEAT se dedica a la restauración).

Pero el fin de la cuestión no es el diseño, ni el estilo, ni la cabecera, ni la cantina (por cierto ya he avisado a los de la cantina que tienen un problema de seguridad con el servidor de correo smtp), sino el link, que es a donde se le van los dedos a uno "http://mail.oceanic-fruits.com/", tiene toda la pinta de ser un servidor legítimo pero comprometido.

Miremos en whois a ver de quién es:
[owner-c] handle: 9390906
[owner-c] type: PERSON
[owner-c] title:
[owner-c] fname: Ulrike
[owner-c] lname: Nasri
[owner-c] org: Oceanic
[owner-c] address: Brooktor
[owner-c] city: Hamburg
[owner-c] pcode: 20457
[owner-c] country: DE
[owner-c] state: DE
[owner-c] phone: +49-40-2100790
[owner-c] fax: +49-40-30384399
[owner-c] email:

Además posiblemente el dominio principal no lo esté, sino el subdominio mail. Ahora toca abrir el VMware con mi Windows sin actualizar para ver lo que pasa cuando entro, imagino que es un troyano, pero veamos... Mala suerte, el index no está activo, quizás lo descubrieron y lo borraron o quizás no está todavía activo. Probemos con el teleport. El teleport es un software muy utilizado por los hackers y por los "buenos" para clonar páginas Web, como en este caso la de AEAT. Le pedimos que reciba el contenido de ese dominio y ... ¡Bingo! el contenido del portal malicioso ya está aquí.

No es como pensaba un inyectador de troyano basado en vulnerabilidades, sino un formulario que nos pide datos como el número de la tarjeta de crédito y el PIN y valida el tipo de datos mediante funciones javascript. Tras rellenar el formulario y darle a enviar datos, utiliza una función de envío de datos a un email y nos devuelve una página amable de agradecimiento por parte de Hacienda (http://0126.013624501/ss/submit.php) y nos lleva a la página real de AEAT. Algo muy común para dar en Internet: el PIN de la tarjeta. Esto ya resulta demasiado, pero este tipo de páginas funcionan gracias a la estadística. A millones de envíos de email, alguno pica.

Esto es un ejemplo de como se realiza a groso modo una auditoría de un correo malicioso que nos lleva a descubrir los dominios comprometidos y los receptores de correo del fraude. Estudiando el código fuente de la página o del correo podemos descubrir todos los datos necesarios para abrir una investigación o para alertar a las partes comprometidas, que probablemente el único mal que han hecho es no mantener sus servidores actualizados y seguros.