News

Los caballos de dios son nubes flotantes: La historia de un troyano bancario chino

Dong Yan

En la China moderna, el comercio electrónico se ha convertido en parte esencial del día a día, especialmente entre los jóvenes. Según un informe de CNNIC (China Internet Network Information Center), la cantidad de usuarios chinos de comercio electrónico llegó a 242 millones a fines de diciembre de 2012. Esta cifra es casi la mitad de todos los usuarios chinos de Internet.

Debido a ello, muchos ciberdelincuentes chinos cambiaron sus actividades lucrativas ilegales: pasaron de robar números QQ o bienes virtuales en juegos online a robar dinero durante el proceso de compra-venta online. En octubre, el periódico oficial del Partido comunista de China, People?s Daily, informó sobre él arresto de un grupo de ciberdelincuentes que estaban implicados con un troyano dirigido a usuarios de comercio electrónico (http://news.xinhuanet.com/legal/2012-10/17/c_113393614.htm). A este troyano, que Kaspersky Lab detectó como trojan-Banker.Win32.Bancyn.a, se le llamó “Floating Cloud” (Nube flotante), y se lo usaba para robar millones de dólares de los usuarios de comercio virtual.

El nombre “Nube flotante”, ‘浮云’ en chino, proviene de un dicho muy popular entre los usuarios chinos de Internet ‘神马都是浮云’. La traducción directa es “Los caballos de dios son siempre nubes flotantes”, que significa que todo se aleja flotando, con prisa, como nubes flotantes. Pero aquí, la nube flotante no es un caballo de dios, sino un caballo troyano. Y “Nube flotante” se escribió en el lenguaje de programación EAZY que permite escribir programas completos en chino.

Para propagar este troyano, los ciberdelincuentes suelen camuflarse como vendedores. Cuando el cliente víctima pide información sobre la mercancía, le envían un archivo comprimido con nombres como “información detallada” que supuestamente contiene imágenes descriptivas del producto. Pero entre las imágenes se esconde un archivo ejecutable bajo el icono de un archivo de imagen. Si la víctima decide mirar este archivo de “imagen” y pulsa dos veces en él, entonces el troyano se ejecutará.
Cuando el troyano “Floating cloud” empieza a ejecutarse, lo primero que hace es crear los directorios:

y

Y crea los archivos:

y

Estos dos archivos están relacionados con la Política de grupos del sistema operativo Windows. Por razones de seguridad, los administradores pueden crear políticas de restricción para programas a fin de evitar que se ejecuten. Pero aquí, el troyano usa esta característica para enfrentarse a las soluciones de seguridad.

Como se ve en esta captura de pantalla, algunos archivos dll de las soluciones antivirus Kingsoft, 360Safe y Tencent aparecen en el archivo de políticas de restricción de programas y se evita su ejecución.

Entonces, el troyano procede a crear un proceso para ejecutar la línea de comandos “gpupdate /force” para actualizar la Política de grupos a fin de activar las reglas especificadas en el archivo de políticas.

Para registrar las estadísticas de instalación del troyano, envía la información del equipo capturado a la dirección:
http://**.corsgate.com//Install/Post.asp?Uid=3f000300-ad3f3eb3-0723b0f0-3136e3ae en la que “3f000300-ad3f3eb3-0723b0f0-3136e3ae” es la identidad usada para definir al ciberdelincuente que infiltró el troyano.

Si es así, el troyano obtiene la interfaz IHTMLDocument2 enviando un mensaje WM_HTML_GETOBJECT a la ventana de Internet Explorer.

Una vez que el troyano obtiene esta interfaz IHTMLDocument2, puede obtener el código fuente de la página web y modificarlo a su gusto.
A continuación, el troyano analiza el código fuente para encontrar la localización del dinero y de la cuenta receptora.

Tras entregar la página web modificada, el dinero de la víctima se deposita directamente en la cuenta del ciberdelincuente. El troyano también puede engañar a su víctima y hacerle pensar que el pago falló debido a errores en la conexión a Internet, de manera que proceda a repetir el pago varias veces, lo que le causará grandes pérdidas.

El grupo de ciberdelincuentes responsable de este troyano es muy interesante. Está compuesto de unas 60 personas, y cada una tiene una función: programar el troyano, ofuscar el troyano para evitar la protección antivirus, infiltrar el troyano, lavar el dinero, y otras actividades que conforman una cadena completa de valor clandestina. El grupo está tan bien organizado que sus miembros cooperan armónicamente aunque se encuentren dispersos en 32 ciudades de China, desde la provincia Heilongjiang en el norte, hasta la provincia Hainán en el sur.

Los ciberdelincuentes responsables del troyano “Nube flotante” fueron arrestados en abril de 2012. Después de recibir el informe sobre la operación, la policía de Xuzhou cooperó con la policía de Weihai y arrestaron a dos miembros de la pandilla. Tras el interrogatorio, se develaron todos los ciberdelincuentes de la cadena de valor y sus diferentes funciones. En total, se detuvo a 58 sospechosos y finalmente 41 quedaron arrestados. La captura de estos ciberdelincuentes no fue para nada una tarea fácil. Para ocultar sus identidades y evitar el rastreo, nunca usaron sus verdaderos datos personales, sus cuentas variaban periódicamente, así como su localización.

De todas maneras, como dicen los chinos, “Ni el zorro más listo puede huir del hábil cazador “. Se arrestó a los miembros de la pandilla “Nube flotante”, pero la guerra contra este tipo de ciberdelito está lejos de haber terminado.

Los caballos de dios son nubes flotantes: La historia de un troyano bancario chino

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada