Dinero, municiones y dos troyanos codiciosos: robo de bancos en el siglo 21

Los programas maliciosos que roban datos confidenciales para ingresar a sistemas bancarios en línea han causado dolores de cabeza a las organizaciones financieras de todo el mundo desde hace tiempo.

Número de resultados de búsquedas de las palabras claves “stolen+money+bank+Trojan” (“robado+dinero+banco+troyano” en inglés) en Google

Por esta razón, la aparición de otro programa malicioso diseñado para robar el dinero de los usuarios desprevenidos no es ninguna noticia sorprendente. Pero sí ayuda a comprender cómo hacen los cibercriminales para meter las manos en los bolsillos ajenos.

Ataque de Gumblar

El año pasado se descubrió un ataque que comprometió a una serie de sitios legítimos. El culpable fue el descargador de scripts Gumblar, que atrajo las miradas una vez más hacia las fallas de la seguridad en Internet. Desde entonces, el sistema de distribución de Gumblar se ha convertido en el modelo a seguir para muchos otros programas maliciosos.

Ciclo de ataques de Gumblar. Fuente: http://www.digitalthreat.net/2009/06/deobfuscating-gumblar/

Gumblar sigue encabezando nuestro Top20 de programas maliciosos y nuestros analistas le siguen el rastro a todos los sitios que ha comprometido. Se descubrieron algunas técnicas para infectar sitios web mientras se vigilaba a Gumblar: la principal es el uso de contraseñas robadas para ingresar a recursos FTP. El hecho de que se hayan comprometido los mismos sitios más de una vez, aún después de que los administradores los hayan desinfectado, demuestra que los cibercriminales están constantemente activos y que reconocen una buena presa a primera vista.

En la última visita a un sitio infectado por Gumblar, el ordenador de pruebas se infectó (mediante otra vulnerabilidad en un producto Adobe) con una variante de Bredolab.

Extracto del “memory dump” del descargador de rootkit Backdoor.Win32.Bredolab

La técnica no tenía nada nuevo, pero encontramos algo más que no esperábamos: mientras vigilábamos el troyano Bredolab, descubrimos que mostraba un interés sospechoso por la clave de registro HLMSoftwareBIFIT. Esta clave, desarrollada por una empresa llamada BIFIT, contiene información sobre cualquier programa instalado en el ordenador que se utilice para realizar transacciones en línea. Después, en la próxima actualización de la red zombi HQ, se instalaba un programa malicioso, Trojan-Banker.Win32.Fibbit.a, en el ordenador infectado.

Fibbit

Al ejecutarlo, este programa se copia a sí mismo en el archivo %windir%system32winsrv32, or to %TEMP%winsrv32.exe. Después, tras extraer el archivo ejecutable, lo inyecta en los siguientes procesos: svchost.exe, explorer.exе, iexplore.exe, firefox.exe, opera.exe, java.exe, y javaw.exe. El programa malicioso también se agrega al grupo de inicio y añade el proceso svchost.exe a la lista de excepción para evitar que el cortafuegos de Windows lo bloquee. El troyano busca en el sistema ventanas con los nombres SunAwtFrame, javax.swing.JFrame, MSAWT_Comp_Class y los títulos “Вход в систему” (Ingresar al sistema), “Welcome” (Bienvenidos) o “Синхронизация с банком” (Sincronizar con el banco). Si encuentra estas ventanas, el troyano captura cualquier entrada relevante del teclado, copia los datos desde el portapapeles, busca archivos certificados con la extensión .jks, captura imágenes de la pantalla e intenta leer los archivos keys.dat. Después comprime todos los datos recolectados en un archivo CAB que envía al servidor del cibercriminal.
A mediados de 2008, cuando BIFIT comenzó a alertar a los bancos y usuarios sobre un troyano que podía robar dinero mediante el sistema iBank 2, se enviaban las credenciales robadas a direcciones i-bifit.co e i-bifit.in de los cibercriminales para ingresar a bancos en línea. Ahora, la información de las transacciones bancarias que roba Fibbit se guarda en sitios que forman parte del sistema autónomo AS29371 que utilizan los cibercriminales para realizar actividades ilícitas, y que los analistas de seguridad ya conocen bien.

Muestra de la estructura del servidor que se utiliza para transferir la información necesaria para realizar transacciones bancarias ilícitas

Tan pronto como los cibercriminales consiguen todos los datos que necesitan, envían una orden al troyano diciéndole que bloquee el acceso del usuario a su servicio bancario en línea. Cuando el usuario intenta ingresar a este sitio, aparece una ventana de diálogo que le avisa que el servidor está en mantenimiento:

Ventana de diálogo informando al usuario que “el servidor está en reparación” y que el servicio “puede no estar disponible temporalmente o funcionar de forma incorrecta”

Los cibercriminales evitan que el usuario ingrese a los servicios bancarios para esconder el robo que está en progreso. Esto también asegura que tengan suficiente tiempo para transferir el dinero por medio de cuentas falsas, sistemas de pago en línea y cambios de moneda en línea, lo que deja un rastro muy complejo que hace que sea imposible cancelar la transacción inicial.

Tras cumplir su misión, el troyano abandona sus operaciones, pero no se destruye a sí mismo, lo que permite a los cibercriminales volver a atacar al usuario si así lo desean.

Informe semanal

Una semana después de que se detectara Trojan-Banker.Win32.Fibbit, se agregó más de un centenar de variantes de este programa en particular a la colección de malware de Kaspersky Lab. Un análisis de sus diferencias demostró que los cibercriminales estaban utilizando métodos de codificación simples para que a los programas antivirus les cueste más trabajo detectarlos. Según datos de Kaspersky Security Network, este troyano aparece alrededor de cien veces al día y se bloquean más de mil intentos diarios de conectarse a los recursos de la lista de rechazados donde se guardan los datos bancarios robados. Las cifras del mercado ruso de Kaspersky Lab indican que alrededor de 8.000 ordenadores en Rusia están infectados por este programa malicioso. Después de analizar Trojan-Banker.Win32.Fibbit.a, podemos asegurar que utiliza las mismas tecnologías que el conocido programa Trojan-Spy.Win32.BZub y Trojan-Spy.Win32.Zbot. Los autores no quisieron volver a inventar la pólvora y se quedaron con lo viejo conocido. Pero la cantidad de infecciones es preocupante, por lo que vale la pena repetir las recomendaciones que BIFIT dio a sus clientes: Asegúrese de que el acceso a su ordenador es sólo para usuarios de confianza. Sólo utilice o actualice aplicaciones de fuentes confiables que garanticen que no están infectadas. La integridad de cualquier actualización que se haya recibido por dispositivos de almacenamiento o descargado de Internet también debe ser segura. Utilice programas de seguridad actualizados, como soluciones antivirus, cortafuegos personales, productos que protejan contra el acceso desautorizado, etc. Siga las reglas de seguridad de Internet. Además, si recibe un mensaje de error cuando esté tratando de conectarse al servidor de su banco, póngase en contacto con su banco de inmediato y averigüe si sus servidores están funcionando con normalidad y compruebe cuándo realizó su última transacción.