miércoles, 7 de octubre de 2009

El troyano URLZone desarrolla técnicas "anti-mulas"

En el mundo del malware, las mulas son las personas que se dedican a realizar el trabajo sucio: mover el dinero desde la cuenta bancaria víctima hacia la suya, y de ahí a través de traspaso de dinero en efectivo, el dinero viaja a los verdaderos atacantes (cerebros de la operación) mientras ellos se quedan con un pequeño porcentaje y corren todo el riesgo. URLZone ha desarrollado un método para evitar que los investigadores atrapen a estas mulas, y pasar así todavía más desapercibidos: Usan cuentas de mulas reales durante su comportamiento "habitual", pero, si notan que están siendo monitorizados, engañan automáticamente a los investigadores realizando transacciones legítimas a cuentas de conocidos de las víctimas que, lógicamente, en realidad no son mulas.

El llamado URLZone está siendo muy especial, por lo innovador de algunas técnicas con las que se protege. Hace algunos días nos llamaba la atención que el troyano fuese capaz de recordar el balance anterior de su víctima, y falsearlo en la cuenta una vez ha sido robado. Así, el usuario no percibe que está siendo víctima de fraude. No puede detectar la falta de dinero en su cuenta a menos que analice un extracto por algún otro medio que no sea su propio ordenador troyanizado, o le sea devuelto algún recibo.

URLZone es una evolución de la familia de los Silentbankers que, como característica principal, realiza las transacciones de forma automática. Habitualmente las contraseñas robadas va a parar a manos de los atacantes y las transacciones ilegítimas son realizadas "a mano" desde otro ordenador. Con URLZone, las transacciones a muleros se hacen de forma automática desde el ordenador de la víctima sin que este lo sepa, lo que complica por ejemplo el demostrar jurídicamente que no ha sido la víctima la que ha realizado la transacción.

Como la mayoría de las empresas que estudiamos malware, RSA FraudAction Research Lab ejecuta en un entorno lo más real posible un troyano, y estudia su comportamiento. Observaron que en su laboratorio, como es habitual, el troyano realiza transacciones de forma automática. Pero, y aquí está lo relevante, comprobaron que las cuentas a las que se hacían transferencias eran cuentas de personas reales, conocidas o no, pero siempre a las que el usuario víctima ya habían realizado transacciones previamente. Esto quiere decir que, cuando el troyano se sabe "monitorizado", no usa las cuentas de muleros sino que almacena en una base de datos (probablemente junto con el balance anterior de la víctima) cuentas habitualmente utilizadas por el usuario para realizar transferencias "falsas" cuando le vigilan.

Cuando URLZone detecta que no está en su botnet "legítima", o sea, la red de sistemas infectados que reciben órdenes de uno o varios sistemas centrales, modifica su comportamiento para eludir a los investigadores. Si es instalado en un laboratorio, y la red central no "conoce" a ese sistema, simulará un comportamiento extraño, en el que toda persona que haya recibido dinero de la cuenta de la víctima, parecerá que es el mulero de turno. De paso, ocultan así las cuentas de los muleros reales, y perseguir el dinero se convierte en una tarea todavía más compleja.

Todo esto se controla desde el servidor central. Tiene un protocolo especial de comunicación con las víctimas y si, por cualquier razón, sospecha que uno de los sistemas infectados no es una víctima real, sino que ha sido infectado en un sistema de laboratorio, en vez de desconectar o no hacer nada (así actúan la mayoría de troyanos hoy día), busca en su base de datos de conocimiento de la víctima y simula transacciones que no harán más que confundir a los investigadores, bancos, víctimas y sobre todo, a las personas que recibirán dinero sin haberlo pedido y serán acusados de mulas ocasionales.

Sin duda, una inteligente vuelta de tuerca más en el mundo del fraude online.


Sergio de los Santos
ssantos@hispasec.com


Más información:

The Arms Race between Black Hats and White Hats Steps Up with URLZone Trojan
http://rsa.com/blog/blog_entry.aspx?id=1530

No hay comentarios:

Publicar un comentario en la entrada