Informe sobre mensajes que suplantan al Instituto de Seguridad Laboral de Chile (ISL) Santiago, 04 de Octubre del 2019

Nota La información consignada en el presente informe es producto del análisis de múltiples fuentes, de

terceras partes e investigación propia del equipo CSIRT. La información contenida en los informes o

comunicados está afecta a actualizaciones.

Este informe ha sido clasificado con TLP BLANCO. La información puede ser distribuida sin

restricciones.

Resumen Ejecutivo

El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT), fue alertado el día 25 de

Septiembre del presente año sobre un una campaña de phishing a través de la aplicación de

mensajería instantánea WhatsApp. El mensaje afirmaba, a la persona que lo recibía, sobre la

existencia de un fondo (monto de dinero) disponible en el Instituto de Seguridad Laboral de Chile

(ISL), invitándolo a seleccionar el enlace para verificar su nombre en la lista de los posibles

beneficiados.

Este informe proporciona detalle del método de infección y el comportamiento de la campaña.

Además se comparten indicadores de compromisos y formas de prevenir ataques de ingeniería

social que son utilizados por los atacantes.

Si bien las técnicas descubiertas por CSIRT ya han sido documentadas anteriormente, el objetivo de

este documento es llamar a los usuarios a tener precaución.

Análisis del Caso

Con fecha 25 y 27 de Septiembre de 2019, el Equipo de Respuesta ante Incidentes de Seguridad

Informática, CSIRT, fue informado que la ciudadanía se encontraba recibiendo mensajes vía

WhatsApp.

En la investigación se utilizó un dispositivo móvil con sistema operativo Android 5.1.1 y browser

Chrome 76.03809.89.

Iniciando la investigación se pudo identificar dos mensajes semejantes con diferente hipervínculo:

“https://agorafinancas[.]club/chl-isl y https://empregopraja[.]club/isl-chl.

Figura 1. Mensaje WhatsApp

CSIRT analizó los vínculos que los atacantes utilizaron en los mensajes que intentaban suplantar al

sitio original del Instituto de Seguridad Laboral “https://www.isl.gob.cl/”

Figura 2. Sitio web falso

Al analizar el sitio se puede apreciar un certificado digital, representado por la imagen del candado

color verde. Para ello el atacante utilizó un certificado digital gratuito, lo que en apariencia podría

confundir al usuario del sitio. Este ícono solo asegura que la comunicación entre el cliente y el

servidor es segura y no necesariamente que es un sitio legítimo. Esta técnica está siendo

ampliamente utilizada hoy en día para engañar a los usuarios.

Luego observamos un mensaje que consulta al usuario si “le gustaría recibir estos fondos de ISL de

inmediato”. Si el usuario selecciona la opción, “si por supuesto”, automáticamente se configuran

permisos adicionales en el navegador, lo que permite la recepción de notificaciones, tal como se

muestra en las siguientes imágenes.

Figura 4. Permisos de Notificaciones

Luego de aceptar los supuestos fondos, se solicita contestar algunas preguntas para terminar el

proceso y verificar si el nombre de la víctima figura en la lista. ¿Tienes más de 18 años?, ¿Trabajo en

uno de los periodos de 1990 a 2019?, Por el momento, ¿Trabajas en alguna parte?

Figura 5. Encuesta

Independiente de cual sea la respuesta que se marca, al final de la encuesta, el atacante insta a

compartir la promoción a sus contactos de WhatsApp, asegurándose así, que el mensaje sea

compartido entre los contactos de la persona afectada y, potencialmente, aumentar la cantidad de

víctimas. Además, inserta comentarios de supuestas personas que han recibido el beneficio. Todo

esto para darle credibilidad a la campaña.

Figura 5. Reenviar Mensaje y comentarios de otros beneficiarios

El atacante, para poder utilizar los contactos del WhastsApp de la víctima, inserta en el sitio suplantado, en este caso “https[:]//agorafinancas[.]club/chl-isl“, algunas líneas de código. Al presionar el botón identificado como WhatsApp, automáticamente consigue abrir la aplicación de mensajería del dispositivo, predeterminando la estructura del mensaje que será compartido, como se muestra en la imagen a continuación.

Figura 6. Código WhastsApp

Solo segundos antes de terminar el proceso, el dispositivo comienza a recibir promociones que se

despliegan en forma de “notificaciones” dentro del browser utilizado en la investigación, es decir,

Google Chrome, las cuales están relacionadas a supuestos premios y/o beneficios tales como

teléfonos celulares, encomiendas pendientes por retirar, ofertas de equipos telefónicos, programas

de recompensa de clientes GTD, entre otros.

Figura 7. Notificaciones en Chrome.

En esta etapa, pudimos establecer que el mensaje recibido por WhatsApp activa las notificaciones

del browser para recibir distintos tipos de publicaciones. Además de forma aleatoria solicita al

afectado a suscribirse a nuevos sitios de notificaciones.

Figura 7. Notificaciones

Al investigar los dominios involucrados, se logró detectar que esta campaña de phishing no solo fue

dirigida a Chile, sino que también a otros países de Latinoamérica.

- Ministerio de Trabajo y Seguridad Social, de Uruguay

- Instituto de Seguridad Social (ISS), de Colombia

- Seguro Social de Salud, de Perú

Figura 8. Url Sitios suplantados

Buscando antecedentes históricos, también se logró identificar otras campañas similares con el fin

de engañar a los usuarios con un supuesto retiro de dinero.

Figura 9. Url Históricas

Se debe tener presente que el Instituto de Seguridad Laboral, una vez en conocimiento del phishing, utilizó sus redes sociales para alertar que ellos no habían emitido esta información, que no realiza comunicaciones por esa vía, y que nunca pedirá datos personales y/o contraseñas a sus usuarios.

Figura 109. Mensaje Sitio Oficial de ISL

Figura 11. Mensajes Twitter

Conclusiones La exposición de este caso demostró que la infección inicial se produce a través del método de

ingeniería social, en este caso, suplantando la identidad del Instituto de Seguridad Laboral.

No se logró constatar la instalación de algún programa malicioso para infectar los dispositivos

móviles. Tampoco se puede descartar que en algún momento el atacante envíe algún mensaje

incitando a seleccionar algún vínculo, para luego descargar alguna aplicación que pueda ser utilizada

para sustraer información personal.

El objetivo de esta campaña es levantar notificaciones con publicidad en los dispositivos, por lo que

se puede concluir que el atacante debe recibir un incentivo económico para propagar este tipo de

ataques.

CSIRT insta a los usuarios de internet a seguir las recomendaciones básicas que se indican más

adelante, ya que cada vez más los cibercriminales recurren al engaño para obtener réditos

económicos.

Es importante verificar qué tipo de notificaciones está recibiendo su browser. Para esto, los usuarios pueden apoyarse en la ayuda de cada navegador.

Recomendaciones

No abrir correos ni mensajes de dudosa procedencia.

Desconfiar de los enlaces y archivos en los mensajes o correo.

Ser escépticos frente ofertas, promociones o premios increíbles que se ofrecen por internet

Prestar atención en los detalles de los mensajes o redes sociales

Mantener sus dispositivos actualizados

Mantener las aplicaciones actualizadas

Desconfiar de promociones que no se encuentren en los canales oficiales

Siempre visitar los canales de comunicaciones oficiales

Indicadores de compromisos Url’s Suplantación: https://agorafinancas[.]club/uy-mtss/ https://agorafinancas[.]club/bank-ru https://agorafinancas[.]club/uy-mtss https://agorafinancas[.]club/chl-isl https://empregopraja[.]club/co-iss https://empregopraja[.]club/essalud/ https://empregopraja[.]club/kwsp https://wordcoin[.]online/uymtss/ https://wordcoin[.]online/pe-essalud https://wordcoin[.]online/cl-isl/ https://mobm1[.]info/iss https://mobs2[.]info/essalud https://mobj[.]info/pe-essalud Url’s Publicidad http://sexysinglesonline[.]net https://www[.]best-mobile-app[.]club https://up[.]trkgenius[.]com http://core[.]royalads[.]net https://streaming[.]postyourlife[.]com https://punitive[.]co/visit[.]php https://progresssuper[.]club https://znakachestva[.]com http://cogerhoy[.]com https://tracklink[.]top/cl/ali https://clk[.]wbidder[.]online https://medium-telepatico[.]com https://enganchosalaweb[.]com http://cogerhoy[.]com http://tichtipi[.]com http://ateap[.]personal-video[.]live http://asdkeeper[.]co[.]uk http://wordpressninjas[.]online