El 18 de julio de este año apareció esta publicación en un foro de ciberdelincuentes:
Su autor ofrecía un programa malicioso que sirve para atacar “unos 100 bancos” mediante la inyección, en los sitios web de los bancos, de códigos add-on para los navegadores Explorer y Mozilla Firefox, con conexiones VNC y otras formas para atacar “cualquier banco en cualquier país”.
De inmediato, Kaspersky Lab comenzó una profunda investigación y descubrió que el programa malicioso en cuestión era Trojan-Banker.Win32/64.Neverquest. A mediados de noviembre, Kaspersky Lab llegó a registrar varios miles de intentos de infección con Neverquest en todo el mundo. Se trata de una amenaza relativamente nueva que los ciberdelincuentes todavía no están explotando al máximo. Considerando la capacidad de autoreproducción de Neverquest, la cantidad de usuarios atacados podría aumentar considerablemente en muy poco tiempo.
Análisis de archivos ejecutables
executable md5 | Fecha de compilación |
0eb690560deb40bec1a5a9f147773d43 |
Jueves 5 de septiembre 12:33:35 2013 |
212a7ef73af17a131bb02aa704aa1b14 |
Jueves 29 de agosto 15:30:01 2013 |
2a9e32e488c3e6d5ba8dc829f88ba31b |
Viernes 23 de agosto 12:10:14 2013 |
385509d00c7f652689a13df0c4142a91 |
Sábado 28 de octubre 05:37:40 2000 |
5c6f1704632afbbaa925fa71ebc2f348 |
Miércoles 28 de agosto 10:22:16 2013 |
61720b34825e28e05c6a85a20dd908c9 |
Lunes 2 de septiembre 16:41:05 2013 |
79da4f9675b87d261cb1b9cb9c47e70a |
Lunes 26 de agosto 14:35:00 2013 |
808b13ebae56569db0f7f243fab9e9ed |
Miércoles 4 de septiembre 10:50:18 2013 |
8e918b0f0643b1e6a7ae1ebf8fbaaec7 |
Jueves 5 de septiembre 12:50:17 2013 |
a22cf98fb397b537de0f9c9f4263b6a5 |
Lunes 11 de septiembre 02:47:52 2000 |
b26578721c11bf387ed72b02c1237ed7 |
Viernes 6 de septiembre 06 21:40:39 2013 |
b76628896fb602d02abbcc118a704d30 |
Jueves 29 de agosto 15:30:24 2013 |
c0244295fc0cb98c938bb39bbada2e61 |
Miércoles 14 de agosto 09:30:45 2013 |
dd12ec2f1cd96bc8677934abb6a545b0 |
Viernes 6 de septiembre 06 21:40:39 2013 |
fd3231ab2f7829659c471b7369808fab |
Martes 27 de agosto 09:38:43 2013 |
ffad56a2b4693d98e31ad8c4be86d055 |
Miércoles 4 de septiembre 13:13:45 2013 |
Tabla de md5s ejecutables de Trojan-Banker.Win32/64.Neverquest con sus respectivas fechas de compilación
La función principal de este programa se encuentra en una biblioteca dinámica que se instala en un sistema mediante un programa adicional, como un troyano Downloader o Dropper. Estos troyanos instalan el archivo de biblioteca en la carpeta %appdata% bajo un nombre aleatorio con una extensión .DAT (por ejemplo: qevcxcw.dat). Esta biblioteca se ejecuta de forma automática mediante “regsvr32.exe /s [path to library]” que se añade al registro como “SoftwareMicrosoftWindowsCurrentVersionRun". Después, el programa comienza su única exportación desde esta biblioteca, inicializando el programa malicioso.
Código inicial de Neverquest, descompuesto
El programa busca cualquier copia de sí mismo que ya esté instalada en el equipo. De no encontrar ninguna, activa un servidor VNC y envía su primera petición al centro de comando para recibir un archivo de configuración.
Archivo de configuración de Neverquest
Una biblioteca comprimida aPLib codifica el archivo de configuración con un paquete de llaves que posteriormente transmite al centro de comando.
El archivo de configuración contiene una serie de JavaScripts maliciosos y una lista de sitios web que al ejecutarse en los navegadores Explorer o Firefox instalan los correspondientes scripts.
En la lista hay 28 sitios web, entre ellos algunos que pertenecen a grandes bancos internacionales (alemanes, italianos, turcos e indios), como también de sistemas de pago.
Cuando el usuario atacado visita uno de los sitios web de la lista de arriba, el programa malicioso pasa a controlar la conexión del navegador con el servidor. Los ciberdelincuentes pueden entonces obtener los nombres de usuario y las contraseñas que el usuario ingresa, así como modificar el contenido de la página web. Todos los datos que ingresa el usuario se desvían hacia una página web modificada desde donde se transmiten a los ciberdelincuentes.
Página web infectada con contenidos maliciosos. Todos los datos que el usuario ingresa en esta página se transmiten a los ciberdelincuentes
Después de acceder a la cuenta de banca online del usuario, los ciberdelincuentes utilizan un servidor SOCKS y se conectan de forma remota con el equipo capturado mediante un servidor VNC; a continuación realizan transacciones y transfieren dinero desde la cuenta del usuario víctima hacia sus propias cuentas o, para no dejar rastros que los descubran, hacia las cuentas de otras de sus víctimas.
Otra función del programa malicioso ayuda a los ciberdelincuentes a renovar su lista de bancos atacados y desarrollar códigos que después inyectarán en nuevos sitios web que no figuraban en su lista de blancos. Esto se realiza de la siguiente manera:
- El archivo de configuración contiene una lista de palabras clave que, si se encuentran en una página web en el navegador, entonces el programa malicioso intercepta el proceso y envía todos los contenidos de la página web, así como su URL, a los ciberdelincuentes.
- En base a los datos recibidos, los ciberdelincuentes desarrollan un código adicional que inyectarán en ese sitio web:
- Entonces, el nuevo sitio web queda incluido en la lista de sitios web en la mira, y el nuevo código se añade al arsenal de scripts maliciosos en el archivo de configuración.
- Finalmente, el archivo de configuración actualizado se distribuye a todos los equipos infectados.
Esta es la lista de palabras clave utilizadas para desarrollar un código adicional (términos en inglés y en castellano):
|
|
|
De todos los sitios que este particular programa malicioso ha atacado, fidelity.com (propiedad de Fidelity Investments) parece ser el blanco predilecto. Esta compañía es una de las más importantes firmas de fondos de inversión mutua en todo el mundo y su sitio web ofrece a sus clientes una larga lista de opciones para manejar sus finanzas online. Esto les da a los ciberdelincuentes la oportunidad no sólo de transferir efectivo a sus propias cuentas, sino también de actuar en la bolsa a través de las cuentas y el dinero de sus víctimas.
Predominio
En 2009, Kaspersky Lab detectó una amenaza relacionada con una nueva forma de propagación de programas maliciosos. El programa malicioso se conoce como Bredolab, y se propaga mediante la red zombi Pegel. Los métodos de propagación de este programa fueron tan exitosos a principios de 2010 que llegó a figurar en el Top 3 de los programas maliciosos más propagados en Internet. Neverquest utiliza los mismos mecanismos de autorreproducción que Bredolab.
Entre las características de Neverquest está la recopilación de los datos para acceder a los servidores FTP a través de los siguientes programas:
Far | Far2 | CuteFTP | Ipswitch | FlashFXP |
BulletProof FTP | SmartFTP | TurboFTP | FTP Explorer | Frigate3 |
SecureFX | FTPRush | BitKinex | NetDrive | LeechFTP |
FTPGetter | ALFTP | GlobalDownloader | Notepad++ | FTPInfo |
NovaFTP | FTPVoyager | WinFTP | DeluxeFTP | Staff-FTP |
FreshFTP | BlazeFtp | GoFTP | 3D-FTP | EasyFTP |
FTPNow | FTP Now | FTPShell | NexusFile | FastStoneBrowser |
FTP Navigator | FTP Commander | FFFTP | COREFTP | WebSitePublisher |
ClassicFTP | Fling | FTPClient | WebDrive | LinasFTP |
PuTTY | LeapFTP | WindowsCommander | TotalCommander | FileZilla |
ExpanDrive | AceBIT | Robo-FTP | WinZip | Firefox |
Thunderbird | InternetExplorer |
Tabla de los programas utilizados como servidores FTP que Neverquest ataca
Los datos robados desde estos programas se usan para seguir propagando el programa malicioso mediante el paquete de exploits Neutrino, que nuestros colegas describen aquí.
Este programa malicioso también roba los datos desde los clientes de correo del usuario y los recopila durante las sesiones SMTP/POP. Los ciberdelincuentes utilizan estos datos para realizar envíos masivos de correo spam con adjuntos que contienen troyanos Downloader que después instalan Neverquest. Estos mensajes de correo suelen diseñarse a semejanza de las notificaciones oficiales de una variedad de servicios legítimos. Los nombres de los adjuntos maliciosos podrían ser cualesquiera de los siguientes:
- travel-00034.jpg. zip
- travel-00034.sg.67330-2-2-8.jpg.zip
- jpg.zip
- light details_united airlines.pdf.zip
Ejemplo de un mensaje de correo spam con un troyano Downloader que instala Neverquest
Neverquest también está diseñado para recopilar datos de acceso a las cuentas de varias redes sociales:
|
|
|
Kaspersky Lab no logró detectar la proliferación de este programa malicioso en particular a través de estas redes sociales, aunque nada era capaz de impedírselo.
El siguiente esquema muestra cómo se propaga Neverquest:
Схема Esquema de propagación del programa malicioso Neverquest
Conclusiones
Neverquest adopta casi todos los trucos que describimos en un anterior artículo sobre ataques contra la banca online: inyección web, acceso remoto al sistema, e ingeniería social, entre otros.
Neverquest incorpora los siguientes módulos:
- Un módulo que roba los datos que los usuarios ingresan en sitios web de banca online. Los datos se roban desde los navegadores Explorer y Firefox.
- Un módulo que inyecta códigos en los sitios web de banca online a través de los navegadores Explorer y Firefox. Se descarga un JavaScript malicioso en el código de la página web a la que apunta el troyano.
- Un servidor VNC que proporciona a los ciberdelincuentes conexiones remotas para realizar transacciones maliciosas.
- Un recopilador FTP de contraseñas. Los ciberdelincuentes utilizan los datos robados para inyectar paquetes de exploits en los servidores que pertenecen a los usuarios de los ordenadores infectados.
- Un recopilador de contraseñas para cuentas de correo. Los datos robados se utilizan para realizar envíos masivos de spam con adjuntos maliciosos.
- Un módulo que recopila datos de cuentas de redes sociales. Estos datos sirven para propagar enlaces a recursos previamente infectados.
- Un servidor SOCKS
- que se usa para que los ciberdelincuentes se conecten en secreto con los equipos capturados mediante VNC cuando el usuario efectúa una transacción.
- Un Shell remoto, capaz de ejecutar de forma remota comandos cmd.exe.
Los ciberdelincuentes suelen ser muy activos en las semanas previas a las fiestas de navidad y año nuevo. Ya en noviembre Kaspersky Lab identificó artículos publicados en foros de hackers que ofrecían bases de datos para acceder a cuentas bancarias y otros documentos necesarios para abrir y gestionar las cuentas a las que se envían los fondos robados. Prevemos que los ataques de Neverquest se multiplicarán a fin de año, por lo que muchos usuarios corren el riesgo de ver sus cuentas online saqueadas.
Publicación en un foro de hackers que ofrece bases de datos para acceder a cuentas y documentos bancarios
Por último, nos cabe decir que después de redondear varios casos delictivos asociados con la creación y proliferación de programas maliciosos utilizados para el robo de cuentas bancarias online, aparecieron unos cuantos "agujeros" en el mercado negro; sin embargo, nuevos ciberdelincuentes están tratando de llenarlos con nuevas tecnologías e ideas. Neverquest es apenas una de las amenazas que apunta a ocupar el lugar privilegiado que antes ostentaron programas como Zeus y Carberp.
La protección contra amenazas como Neverquest exige más que soluciones antivirus estándar; los usuarios necesitan una solución dedicada para proteger sus transacciones. En particular, la solución debe ser capaz de controlar el proceso de ejecución del navegador y evitar cualquier manipulación del mismo por parte de otras aplicaciones.
Nueva amenaza para la banca online