(+34) 910 42 42 93 [email protected]

Hace ya unas semanas supimos (EN) en CyberBrainers de la existencia de una campaña de phishing que intentaba hacerse pasar por el navegador Brave, para por supuesto instalar un malware que toma el control de lo que hagamos a nivel de navegación, y roba los datos de acceso a nuestras cuentas.

En sí, el ataque no utiliza ninguna técnica novedosa, pero tiene dos puntos que me han parecido interesantes para comentar por estos lares.

TLS válido y punycode como gancho para usurpar la identidad

Lo primero que hay que dejar claro es que las víctimas llegaban a una web que parecía en diseño y contenido ser la de Brave.com, es decir, la del navegador real.

El único problema es que el dominio no era exactamente Brave.com, sino Bravė.com.

Es decir, que los cibercriminales aprovecharon la nomeclatura punycode (una representación limitada del Unicode típico que todos utilizamos en occidente para escribir, y enfocada a los nombres de host de internet) para contratar el dominio xn – brav-yva .com, que a ojos de cualquier interfaz web, la víctima ve como Bravė.com.

Si te fijas, esa «ė» no es la «e» de Brave, sino en ASCII, otro carácter totalmente distinto.

Por tanto, aunque el dominio parecía ser el original, a efectos prácticos la víctima estaba entrando en otra web distinta.

Y esto se agrava con el hecho de que el SSL de la página no mostraba nada de «página no segura», sino que estaba activo y mostraba el candadito cerrado.

Algo de lo que llevamos literalmente años alertando: El que una web tenga SSL no significa que sea segura, sino que es privada (tus datos se envían de forma cifrada a los servidores de la web). O, dicho de otro modo, en este caso las víctimas estaban enviando de manera cifrada y privada datos al servidor. El único problema es que el servidor no era el de Brave.com, sino el de los cibercriminales.

Que SSL no implica legitimidad (estar o no en la página oficial), sino simplemente privacidad.

fake brave site

Google Ads como plataforma de distribución

Para rizar un poco más el rizo, los cibercriminales inyectaban tráfico mediante campañas de pago en Google Ads lanzadas desde el dominio mckelveytees.com, una web de ropa que seguramente ha sido comprometida previamente.

A ojos de Google, la campaña era legítima (es este dominio quien está lanzando la campaña), pero al intentar entrar, la víctima era redirigida mediante un subdominio al dominio final, anteriormente citado, para que se descargase el malware.

Un ejemplo más de que, por que lo veamos en un anuncio, esto no supone que, de facto, lo que ofrezcan no sea un timo.

Pasa en Instagram Ads, como ya explicamos en su día, en Facebook Ads, en Google Ads, y en definitiva en cualquier servicio publicitario.

Junta lo anterior (SSL válido y dominio homográfico), con esto, y tienes el germen de una campaña de phishing muy exitosa.

Una que hasta podría engañar a cualquiera de los que nos dedicamos a esto.

En CyberBrainers ayudamos a empresas y usuarios a prevenir, monitorizar y minimizar los daños de un ataque informático o una crisis reputacional. Si estás en esta situación, o si quieres evitar estarlo el día de mañana, escríbenos y te preparamos una serie de acciones para remediarlo.

Pablo F. Iglesias
Pablo F. Iglesias

Pablo F. Iglesias es Consultor de Presencia Digital y Reputación Online, director de la Consultora CyberBrainers, escritor del libro de ciencia ficción «25+1 Relatos Distópicos» y la colección de fantasía épica «Memorias de Árganon», un hacker peligroso, y un comilón nato 🙂