lunes, 6 de febrero de 2017

Gmail detecta malware entre cuentas de Google pero no externas

Últimamente estoy investigando bastante sobre la seguridad en el correo electrónico y esta semana pasada, ya comenté el cómo hackear una cuenta de Gmail con tan sólo 25 líneas de código. Hoy os traigo una entrada sobre cómo Gmail detecta cuando un usuario de Gmail, va a enviar un correo con un archivo infectado a otro usuario con cuenta de Goolge.



Para mostrar lo que he obtenido, usaré una máquina virtual con Kali Linux con la que infectaré un archivo pdf y lo trataré de enviar, desde una cuenta en Gmail, a otra cuenta de Gmail. En teoría, debería detectar que es un archivo infectado y no me debería dejar enviarlo. Posteriormente, lo enviaré desde un servicio online que permite transferir documentos además de "spoofear" una dirección de correo.


Lo primero será crear el pdf en cuestión. Es algo realmente sencillo y con una línea de código ya lo tendremos creado y podríamos enviarlo ya perfectamente.


Se redactará el documento, ya sea por comandos o bien a manopla en el propio archivo.  El tema de escribir nos interesa, para que la víctima, al abrir el documento, no sospeche al ver que no hay nada redactado. Yo he simulado que es un pdf con las notas de varios alumnos.


A continuación, una vez terminado el documento, procederemos a infectarlo. Con Metasploit, es una tarea bastante sencilla y solamente basta con 7 comandos. Primero tendremos que seleccionar el exploit para infectar el documento, después seleccionamos el pdf a infectar-en nuestro caso notas.pdf- seleccionamos el payload, metemos nuestra IP, le asignamos el id y que arranque el exploit. Finalmente nos tendrá que salir un mensaje que nos indica dónde se ha guardado el archivo infectado.


Para corroborar que el archivo ha sido infectado correctamente, podemos pasar el archivo por VirusTotal y tal como muestra la captura, vemos que de 54 antivirus, lo detectan como malware 36. Está claro, antes de continuar, que es una muy mala opción que cualquier gestor de antivirus permita que se envíe este documento que lo detectando hasta 36 de 54 antimalware.


Si tratas de enviar el documento por tu correo de Gmail a otro usuario de Gmail, te marca en la parte de la derecha que se ha detectado un virus.


Si a pesar de esto tratas de pulsar en enviar, te aparecerá un cuadro de diálogo que te dice que puedes enviar el correo pero sin el archivo adjunto, algo que no es lo que nos interesa. Así que pulsaremos en cancelar y tendremos que pensar otra forma de enviar el correo infectado y que se lo trague Gmail.


Una opción podría ser tratar de enviar el archivo adjunto por WeTransfer, uno de los muchos servicios que te permite enviar un archivo adjunto por correo a otro usuario. Lo más llamativo es que, además de escribir el correo del destinatario, también puedes escribir una dirección de correo cualquiera. No hace falta que sea la tuya, lo que posibilita a un atacante poder spoofear una dirección de correo electrónico de twitter en mi caso.


Si pulsamos en enviar, veremos que a la víctima le aparecerá el correo en el Inbox. Es aquí donde viene lo importante, ya que en un principio, Gmail no nos dejaba enviar el correo, pero ahora hemos conseguido "saltar" esa barrera y enviar el correo con el archivo infectado adjuntado.


Si consultamos en Google, nos dicen que cuando tratas de enviar un archivo con un virus, Gmail te dice que puedes enviar el correo pero sin el archivo, algo que hemos visto que, efectivamente, hacen. Además, cuando recibes un correo con un archivo malicioso, nos dice que LO RECHAZA Y SE LO COMUNICA AL EMISOR. Esto último ya hemos visto que no es así.


Vemos que nos han enviado el archivo infectado adjunto, no nos avisa de que el archivo es un virus, permite el correo spoofeado y nos deja descargar el archivo infectado.

Esto es un gran problema que se lo reportaré al equipo de Gmail para que traten de solucionarlo ya que habrá, hay y hubo usuarios afectados por esta facilidad a la hora de que un atacante se salte esta medida de seguridad.


Si alguno se pregunta que disponen de otro fallo ya que permiten que se envíe un correo a otro usuario desde una cuenta spoofeada que no ha pasado el filtro SPF -Twitter este filtro lo tiene como -all, es decir, que lo debe tirar a la basura si no es enviado entre una de esas direcciones IP- decir que el correo, en realidad, no ha sido enviado desde una cuenta corporativa de Twitter, sino desde noreply@wetransfer.com.

Cuando obtenga una respuesta del equipo de Gmail os lo comunicaré para que sepáis si piensan hacer algo para solucionarlo o no, por el momento, cercioraros de que los correos que recibís pasan la política spf y estad con mil ojos abiertos.

¿Hackeamos el Mundo?

P.D: Estos son los árboles que he ayudado a plantar.


No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...