Wetransfer como herramienta de Spear Phishing para realizar APTs

Un vector de ataque para realizar un APT (Advanced Persistent Threat) a los miembros de una organización, suele ser utilizar técnicas de Spear Phishing apoyándose en el correo electrónico corporativo de la organización. A veces se aprovechan de la ingenuidad de las víctimas, propensas como ya hemos visto muchas veces, a confiar ciegamente en los mensajes que vienen por el correo electrónico.

Figura 1: WeTransfer como herramienta de Spear Phishing para realizar APTs

Si además las protecciones del correo electrónico no están bien configuradas, ya sea porque el filtro SPF (Sender Policy Framework) presenta una configuración laxa tipo Softfail (~all) no clasificando de manera correcta los correos que son enviados desde servidores no autorizados, o porque el cliente no soporta la verificación DKIM y no se discriminan positivamente los mensajes enviados desde los servidores legítimos, las probabilidades de que el APT sobre la organización sea exitoso aumentan.

Figura 2: Configuración "Softfail" del filtro SPF para prevenir el spoofing

En este artículo se realizará una pequeña prueba de concepto para demostrar lo fácil que sigue siendo hoy en día distribuir malware a través del correo corporativo de una organización empleando técnicas de Spear Phishing, en este caso usando un servicio muy popular para la transferencia de ficheros que está abierto en casi todas las organizaciones para que sus empleados reciban ficheros enviados desde personal externo de la organización.

Obtención de las cuentas de correo electrónico de la organización

Hoy en día, obtener cuentas de correo corporativas de una organización es una tarea muy sencilla. Basta utilizar herramientas como theharvester o realizar un poco de “Hacking con buscadores” para obtenerlas.

Figura 3: Obtención de cuentas de e-mail mediante "The Harvester"

Otra fuente para obtener las cuentas de correo corporativas son los servidores de claves públicas PGP para cifrar el correo electrónico (theharvester por defecto también busca en estos repositorios).

Figura 4: Cuentas de e-mail presentes en servidores de claves públicas PGP

Obtención del malware

Una vez que tenemos las cuentas de correo electrónico de la organización, el siguiente paso es obtener el malware a distribuir entre los miembros de la organización. En esta prueba se ha utilizado Metasploit para crea un fichero PDF malicioso. El objetivo de la prueba no es crear un ransomware sofisticado, sino demostrar cómo herramientas actuales de almacenamiento en la nube, no analizan el fichero adjunto antes de enviarlo y almacenarlo, y cómo tampoco verifican la identidad de una cuenta de correo electrónico antes de mandar al destinatario el mensaje con el fichero adjunto infectado. Un cóctel perfecto para realizar un ataque de Spear Phishing.

Figura 5: Carga del módulo Adobe PDF Embedded EXE de Metasploit

Construimos nuestro fichero PDF malicioso haciendo uso del módulo “Adobe PDF Embedded EXE”.

FIgura 6: Configuración y generación del archivo PDF malicioso con Metasploit

Analizando el archivo PDF generado con el servicio VirusTotal, podemos ver cómo 36 de sus 54 motores de detección de malware, clasifican este fichero PDF como malicioso.

Figura 7: Análisis y clasificación del fichero PDF con VirusTotal

Distribución del fichero PDF malicioso sobre las cuentas de e-mail de la organización

El último paso será la distribución del fichero PDF sobre los miembros de la organización empleando para ello sus cuentas de correo. Parece claro que necesitamos una herramienta para realizar la suplantación o "spoofing" de las cuentas de correo electrónico, aunque éste cuente con las protecciones de tipo SPF o DKIM comentadas al principio del artículo.

Realizaremos la prueba sobre una dirección de correo electrónico corporativo que cuenta con protección SPF, para ver lo sencillo que resulta saltar este tipo de protección a la hora de realizar un ataque de Spear Phishing.

Figura 8: Filtro SPF con "hardfail" activo para evitar suplantación de sus direcciones de e-mail

La herramienta utilizada para realizar la distribución del PDF malicioso, utilizar las cuentas de correo electrónico de la organización y evitar pasar por los filtros SPF y DKIM del servidor de correo electrónico será WeTransfer, en su versión gratuita.

Figura 9: WeTransfer utilizada como herramienta de Spear Phishing

Consultando la bandeja de entrada del correo electrónico, puede comprobarse cómo no ha sido clasificado como spam y el mensaje se ha colado en la bandeja de entrada a pesar de que tenemos activo el filtro SPF para evitar que lleguen correos electrónico con la dirección del centrodonbosco.es sin que vengan desde uno de los servidores autorizados para ello en el registro SPF.

Figura 10: El mensaje entra en el servidor de correo de Office 365 que hospeda nuestro dominio

Esto es así porque como se puede ver, el mensaje no está enviado por ningún dominio de centrodonbosco.es, sino desde noreply@wetransfer.com. Nada extraño que la tecnología SPF no diga nada, pues todo está en regla. Eso sí, si el usuario no se fija bien en el mensaje puede llegar a pensar que la dirección utilizada para enviar este mensaje es del centrodonbosco.es y dependiendo del cliente de e-mail será más o menos fácil hacerle creer eso.

Como todo está en regla, también es posible la descarga del fichero PDF malicioso que se envía como enlace en el correo electrónico, simplemente haciendo clic en el enlace, ya que WeTransfer no se preocupa para nada en evaluar la seguridad o no del fichero transferido por su sistema. Puedes enviar malware o exploits por medio de este servicio.

Figura 11: Descarga del fichero malicioso por parte de la víctima

Conclusiones

Tras realizar esta pequeña prueba de concepto, queda de manifiesto lo siguiente:

• WeTransfer parece no analizar los adjuntos antes de mandarlos al destinatario, lo que convierte a esta herramienta en ideal para la distribución de malware o esquemas de Spear Phishing. 

• WeTransfer no hace una comprobación previa del remitente del correo para ver si éste es realmente quién dice ser. Con el envío de una simple confirmación al remitente del correo antes de que éste se envíe, sería suficiente. Una vez más, usabilidad en lugar de seguridad. 

• Junto con lo anterior, WeTransfer “permite evadir” los sistemas de protección SPF y DKIM, ya que los clientes de correo, al comprobar la dirección del servidor desde el que ha salido el correo electrónico analizando la cabecera del correo, comprueban cómo realmente la dirección IP de la cabecera coincide con la del servidor de correo de WeTransfer. Además, la verificación de la firma digital para evitar la suplantación del servidor de correo electrónico también es correcta, lo que permite que el correo electrónico sea descartado o clasificado como Spam. Dependerá del cliente de e-mail y el conocimiento del destinatario de cómo funcionan estas tecnologías.

Figura 11: Cabecera del e-mail con verificación SPF de WeTransfer

• Se comprueba cómo la configuración del filtro SPF del servidor de correo de WeTransfer presenta una configuración que permite suplantar las cuentas de correo bajo el nombre de dominio @wetransfer.com, lo que abre la puerta a los ataques de suplantación del propio WeTransfer. Para un atacante sería más sencillo suplantar el formato de los correos de WeTransfer.

Figura 12: Configuración "Softfail" para el dominio WeTransfer

Autor: Amador Aparicio de la Fuente (@amadapa) escritor del libor "Hacking de tecnologías Web"

PD: las pruebas han sido realizadas con la “versión free”. Desconozco si los resultados hubieran sido los mismos en la “versión Plus”