Nueva amenaza para la banca online

El 18 de julio de este año apareció esta publicación en un foro de ciberdelincuentes:

 

Su autor ofrecía un programa malicioso que sirve para atacar “unos 100 bancos” mediante la inyección, en los sitios web de los bancos, de códigos add-on para los navegadores Explorer y Mozilla Firefox, con conexiones VNC y otras formas para atacar “cualquier banco en cualquier país”.

De inmediato, Kaspersky Lab comenzó una profunda investigación y descubrió que el programa malicioso en cuestión era Trojan-Banker.Win32/64.Neverquest. A mediados de noviembre, Kaspersky Lab llegó a registrar varios miles de intentos de infección con Neverquest en todo el mundo. Se trata de una amenaza relativamente nueva que los ciberdelincuentes todavía no están explotando al máximo. Considerando la capacidad de autoreproducción de Neverquest, la cantidad de usuarios atacados podría aumentar considerablemente en muy poco tiempo.

Análisis de archivos ejecutables

executable md5 Fecha de compilación

0eb690560deb40bec1a5a9f147773d43

Jueves 5 de septiembre 12:33:35 2013

212a7ef73af17a131bb02aa704aa1b14

Jueves 29 de agosto 15:30:01 2013

2a9e32e488c3e6d5ba8dc829f88ba31b

Viernes 23 de agosto 12:10:14 2013

385509d00c7f652689a13df0c4142a91

Sábado 28 de octubre 05:37:40 2000

5c6f1704632afbbaa925fa71ebc2f348

Miércoles 28 de agosto 10:22:16 2013

61720b34825e28e05c6a85a20dd908c9

Lunes 2 de septiembre 16:41:05 2013

79da4f9675b87d261cb1b9cb9c47e70a

Lunes 26 de agosto 14:35:00 2013

808b13ebae56569db0f7f243fab9e9ed

Miércoles 4 de septiembre 10:50:18 2013

8e918b0f0643b1e6a7ae1ebf8fbaaec7

Jueves 5 de septiembre 12:50:17 2013

a22cf98fb397b537de0f9c9f4263b6a5

Lunes 11 de septiembre 02:47:52 2000

b26578721c11bf387ed72b02c1237ed7

Viernes 6 de septiembre 06 21:40:39 2013

b76628896fb602d02abbcc118a704d30

Jueves 29 de agosto 15:30:24 2013

c0244295fc0cb98c938bb39bbada2e61

Miércoles 14 de agosto 09:30:45 2013

dd12ec2f1cd96bc8677934abb6a545b0

Viernes 6 de septiembre 06 21:40:39 2013

fd3231ab2f7829659c471b7369808fab

Martes 27 de agosto 09:38:43 2013

ffad56a2b4693d98e31ad8c4be86d055

Miércoles 4 de septiembre 13:13:45 2013

Tabla de md5s ejecutables de Trojan-Banker.Win32/64.Neverquest con sus respectivas fechas de compilación

La función principal de este programa se encuentra en una biblioteca dinámica que se instala en un sistema mediante un programa adicional, como un troyano Downloader o Dropper.  Estos troyanos instalan el archivo de biblioteca en la carpeta %appdata% bajo un nombre aleatorio con una extensión .DAT (por ejemplo: qevcxcw.dat). Esta biblioteca se ejecuta de forma automática mediante “regsvr32.exe /s [path to library]” que se añade al registro como “SoftwareMicrosoftWindowsCurrentVersionRun". Después, el programa comienza su única exportación desde esta biblioteca, inicializando el programa malicioso.

 
Código inicial de Neverquest, descompuesto

El programa busca cualquier copia de sí mismo que ya esté instalada en el equipo. De no encontrar ninguna, activa un servidor VNC y envía su primera petición al centro de comando para recibir un archivo de configuración.

 
Archivo de configuración de Neverquest

Una biblioteca comprimida aPLib codifica el archivo de configuración con un paquete de llaves que posteriormente transmite al centro de comando.

El archivo de configuración contiene una serie de JavaScripts maliciosos y una lista de sitios web que al ejecutarse en los navegadores Explorer o Firefox instalan los correspondientes scripts.

En la lista hay 28 sitios web, entre ellos algunos que pertenecen a grandes bancos internacionales (alemanes, italianos, turcos e indios), como también de sistemas de pago.

Cuando el usuario atacado visita uno de los sitios web de la lista de arriba, el programa malicioso pasa a controlar la conexión del navegador con el servidor. Los ciberdelincuentes pueden entonces obtener los nombres de usuario y las contraseñas que el usuario ingresa, así como modificar el contenido de la página web. Todos los datos que ingresa el usuario se desvían hacia una página web modificada desde donde se transmiten a los ciberdelincuentes.

 
Página web infectada con contenidos maliciosos. Todos los datos que el usuario ingresa en esta página se transmiten a los ciberdelincuentes

Después de acceder a la cuenta de banca online del usuario, los ciberdelincuentes utilizan un servidor SOCKS y se conectan de forma remota con el equipo capturado mediante un servidor VNC; a continuación realizan transacciones y transfieren dinero desde la cuenta del usuario víctima hacia sus propias cuentas o, para no dejar rastros que los descubran, hacia las cuentas de otras de sus víctimas.

Otra función del programa malicioso ayuda a los ciberdelincuentes a renovar su lista de bancos atacados y desarrollar códigos que después inyectarán en nuevos sitios web que no figuraban en su lista de blancos.  Esto se realiza de la siguiente manera:

  1. El archivo de configuración contiene una lista de palabras clave que, si se encuentran en una página web en el navegador, entonces el programa malicioso intercepta el proceso y envía todos los contenidos de la página web, así como su URL, a los ciberdelincuentes.
  2. En base a los datos recibidos, los ciberdelincuentes desarrollan un código adicional que inyectarán en ese sitio web:
  3. Entonces, el nuevo sitio web queda incluido en la lista de sitios web en la mira, y el nuevo código se añade al arsenal de scripts maliciosos en el archivo de configuración.
  4. Finalmente, el archivo de configuración actualizado se distribuye a todos los equipos infectados.

Esta es la lista de palabras clave utilizadas para desarrollar un código adicional (términos en inglés y en castellano):

  • availablebalance
  • accountsummary
  • checkingacount
  • saldo
  • cuenta
  • Balance
  • AvailableBalance
  • AccountSummary
  • CheckingAccount
  • Availablebalance
  • CurrentBalance
  • AccountsBalanceFootnote
  • Saldo
  • Cuenta
  • balance
  • BusinessAccounts
  • DepositAcounts
  • AccountBalances
  • CareerBuilder
  • SiteKeyChallengeQuestion

De todos los sitios que este particular programa malicioso ha atacado, fidelity.com (propiedad de Fidelity Investments) parece ser el blanco predilecto.  Esta compañía es una de las más importantes firmas de fondos de inversión mutua en todo el mundo y su sitio web ofrece a sus clientes una larga lista de opciones para manejar sus finanzas online. Esto les da a los ciberdelincuentes la oportunidad no sólo de transferir efectivo a sus propias cuentas, sino también de actuar en la bolsa a través de las cuentas y el dinero de sus víctimas.

Predominio

En 2009, Kaspersky Lab detectó una amenaza relacionada con una nueva forma de propagación de programas maliciosos.  El programa malicioso se conoce como Bredolab, y se propaga mediante la red zombi Pegel. Los métodos de propagación de este programa fueron tan exitosos a principios de 2010 que llegó a figurar en el Top 3 de los programas maliciosos más propagados en Internet. Neverquest utiliza los mismos mecanismos de autorreproducción que Bredolab.

Entre las características de Neverquest está la recopilación de los datos para acceder a los servidores FTP a través de los siguientes programas:

Far Far2 CuteFTP Ipswitch FlashFXP
BulletProof FTP SmartFTP TurboFTP FTP Explorer Frigate3
SecureFX FTPRush BitKinex NetDrive LeechFTP
FTPGetter ALFTP GlobalDownloader Notepad++  FTPInfo
NovaFTP FTPVoyager WinFTP DeluxeFTP Staff-FTP
FreshFTP BlazeFtp GoFTP 3D-FTP EasyFTP
FTPNow FTP Now FTPShell NexusFile FastStoneBrowser
FTP Navigator FTP Commander FFFTP COREFTP WebSitePublisher
ClassicFTP Fling FTPClient WebDrive LinasFTP
PuTTY LeapFTP WindowsCommander TotalCommander FileZilla
ExpanDrive AceBIT Robo-FTP WinZip Firefox
Thunderbird InternetExplorer      

Tabla de los programas utilizados como servidores FTP que Neverquest ataca

Los datos robados desde estos programas se usan para seguir propagando el programa malicioso mediante el paquete de exploits Neutrino, que nuestros colegas describen aquí.

Este programa malicioso también roba los datos desde los clientes de correo del usuario y los recopila durante las sesiones SMTP/POP. Los ciberdelincuentes utilizan estos datos para realizar envíos masivos de correo spam con adjuntos que contienen troyanos Downloader que después instalan Neverquest. Estos mensajes de correo suelen diseñarse a semejanza de las notificaciones oficiales de una variedad de servicios legítimos. Los nombres de los adjuntos maliciosos podrían ser cualesquiera de los siguientes:

  • travel-00034.jpg. zip
  • travel-00034.sg.67330-2-2-8.jpg.zip
  • jpg.zip
  • light details_united airlines.pdf.zip

 
Ejemplo de un mensaje de correo spam con un troyano Downloader que instala Neverquest

Neverquest también está diseñado para recopilar datos de acceso a las cuentas de varias redes sociales:

  • blinkx.com
  • flickr.com
  • yahoo.com
  • google.com
  • skype.com
  • ooyala.com
  • amazonaws.com
  • myspace.com
  • wrproxy.com
  • talltreegames.com 
  • meebo.com
  • poptropica.com
  • tagged.com
  • icomment.com
  • playsushi.com
  • mathxl.com
  • lphbs.com
  • vkontakte.ru
  • trainingpeaks.com
  • yoville.com
  • tubemogul.com
  • farmville.com
  • zynga.com
  • webkinz.com
  • xvideos.com
  • facebook.com
  • live.com
  • ningim.com
  • mortgagenewsdaily.com
  • /wp-admin/admin-ajax.php
  • twitter.com
  • livestream.com
  • brightcove.com
  • hubpages.com
  • fuckbook.com
  • shutterfly.com
  • applicationstat.com
  • espnradio.com
  • webex.com
  • fwmrm.net
  • auditude.com
  • torn.com 

Kaspersky Lab no logró detectar la proliferación de este programa malicioso en particular a través de estas redes sociales, aunque nada era capaz de impedírselo.

El siguiente esquema muestra cómo se propaga Neverquest:

 
Схема Esquema de propagación del programa malicioso Neverquest

Conclusiones

Neverquest adopta casi todos los trucos que describimos en un anterior artículo sobre ataques contra la banca online:  inyección web, acceso remoto al sistema, e ingeniería social, entre otros.

Neverquest incorpora los siguientes módulos:

  1. Un módulo que roba los datos que los usuarios ingresan en sitios web de banca online. Los datos se roban desde los navegadores Explorer y Firefox.
  2. Un módulo que inyecta códigos en los sitios web de banca online a través de los navegadores Explorer y Firefox. Se descarga un JavaScript malicioso en el código de la página web a la que apunta el troyano.
  3. Un servidor VNC que proporciona a los ciberdelincuentes conexiones remotas para realizar transacciones maliciosas.
  4. Un recopilador FTP de contraseñas. Los ciberdelincuentes utilizan los datos robados para inyectar paquetes de exploits en los servidores que pertenecen a los usuarios de los ordenadores infectados.
  5. Un recopilador de contraseñas para cuentas de correo. Los datos robados se utilizan para realizar envíos masivos de spam con adjuntos maliciosos.
  6. Un módulo que recopila datos de cuentas de redes sociales. Estos datos sirven para propagar enlaces a recursos previamente infectados.
  7. Un servidor SOCKS
  8. que se usa para que los ciberdelincuentes se conecten en secreto con los equipos capturados mediante VNC cuando el usuario efectúa una transacción.
  9. Un Shell remoto, capaz de ejecutar de forma remota comandos cmd.exe.

Los ciberdelincuentes suelen ser muy activos en las semanas previas a las fiestas de navidad y año nuevo.  Ya en noviembre Kaspersky Lab identificó artículos publicados en foros de hackers que ofrecían bases de datos para acceder a cuentas bancarias y otros documentos necesarios para abrir y gestionar las cuentas a las que se envían los fondos robados. Prevemos que los ataques de Neverquest se multiplicarán a fin de año, por lo que muchos usuarios corren el riesgo de ver sus cuentas online saqueadas.

 
Publicación en un foro de hackers que ofrece bases de datos para acceder a cuentas y documentos bancarios

Por último, nos cabe decir que después de redondear varios casos delictivos asociados con la creación y proliferación de programas maliciosos utilizados para el robo de cuentas bancarias online, aparecieron unos cuantos "agujeros" en el mercado negro; sin embargo, nuevos ciberdelincuentes están tratando de llenarlos con nuevas tecnologías e ideas. Neverquest es apenas una de las amenazas que apunta a ocupar el lugar privilegiado que antes ostentaron programas como Zeus y Carberp.

La protección contra amenazas como Neverquest exige más que soluciones antivirus estándar; los usuarios necesitan una solución dedicada para proteger sus transacciones.  En particular, la solución debe ser capaz de controlar el proceso de ejecución del navegador y evitar cualquier manipulación del mismo por parte de otras aplicaciones.

Publicaciones relacionadas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *