Destripando phishing de Fedex

En Tekpyme nos encontramos la semana pasada con un curioso correo al entrar a la oficina, del cual se informó lo antes posible en la red social Twitter (https://twitter.com/Tekpyme/status/869586131108626432).

Pero tras su estudio y análisis por parte de nuestro departamento de Ciberseguridad, lo destripamos y divulgamos para el aprendizaje de todos.

Se trata de un correo de Fedex informándonos de una entrega pendiente. Como se puede observar en la imagen, se han cuidado varios detalles como la imagen corporativa (colores y logo) y gran cantidad de información acerca del supuesto envío.

En la parte inferior del correo también se han cuidado detalles como información de la empresa, condiciones del servicio e incluso un enlace a unas supuestas políticas de privacidad.

Curiosamente, el enlace a las políticas de privacidad es el único enlace legítimo (http://www.fedex.com/us/privacypolicy.html).

El correo no traía ningún fichero adjunto, que podría haber sido otra opción; incluir un archivo malicioso que incluyera algún tipo de malware con la intención de infectar el equipo o incluso secuestrar ficheros mediante el cifrado de los mismos, como vienen haciendo los ransomware.

Además del enlace de las políticas de privacidad que hemos comentado anteriormente, incluía otro enlace con la supuesta factura del envío.

http://shrinkssupport.com/viewdoc/file.php?document=amF2aWVyYmxhbmNvQHRla3B5bWUuY29t

Se trata de un documento php (file.php) al que se le pasa un parámetro (document) con un valor (amF2aWVyYmxhbmNvQHRla3B5bWUuY29t). El dominio donde está alojado este recurso es shrinkssuport.com.

La dirección IP del servidor web que está alojando este recurso es: 35.161.222.8.

Se trata de un servidor alojado en Amazon.

Es un servidor que no está indexado por Bing, por lo que no parece que sea un servidor web compartido. Todo indica a que no se trata de un dominio que haya sido comprometido, y donde se haya alojado los recursos maliciosos. Más bien, parece un dominio creado para la ocasión.

 

Haciendo un análisis de seguridad en virustotal.com obtenemos los siguientes resultados:

Podemos observar que solo 4 de 64 motores han detectado algo malicioso en la URL analizada.

El servicio de Sucuri también detecta algo malicioso.

El servicio de Quttera no encuentra nada malicioso en la URL.

 

 

Sin embargo, con urlquery.net podemos comprobar que sí se trata de una URL maliciosa.

También podemos observar que, en el mismo servidor, hay otras URL también analizadas y con resultados que indican que son maliciosas también.

Por lo tanto, si no lo habéis hecho ya, os recomendamos añadir a la lista negra de vuestra seguridad perimetral la siguiente dirección IP y dominios:

Dirección IP: 35.161.222.8

Dominios:

  • shrinkssupport.com
  • agaagents.com
  • ucancustomtshirtdesign.com

Esperamos que el artículo resulte de vuestro interés.

Si eres cliente de Tekpyme o sin serlo, quieres que te asesores de como poder resolver esta posible amenaza, ponte en contacto con soporte@tekpyme.com

Equipo de Ciberseguridad de Tekpyme.