martes, 4 de junio de 2013

Nuevo malware para robar bitcoins basado en proxy

El malware basado en proxy no es nuevo, pero vamos a aprovechar la circunstancia de que se ha avistado una muestra que intenta robar bitcoins con esta técnicapara repasar en qué consisten y, sobre todo, cómo los bitcoins y las compañías que los gestionan se pueden considerar ya prácticamente un objetivo en sí mismo como cualquier entidad bancaria.

Los troyanos basados en proxy

Esta técnica se usa desde 2007. Está basada, como tantas otras, en la redirección del usuario. En esta categoría entra el pharming tradicional (cambiar la resolución de dominios a nivel de sistema), el uso de "rogue DNS" (cambiar los DNS de sistema), etc. El troyano basado en proxy está fundamentado en el cambio discrecional (o no) del proxy de sistema según el dominio que se quiera atacar. El tráfico pasa por el proxy del atacante y, con él, las claves y contraseñas. O bien el proxy redirige a otro lugar donde espera un clon de la página objetivo.

Las técnicas basadas en proxy, son en teoría detectables por el usuario. Para que sea útil para el atacante, debe descifrar el tráfico TLS/SSL de alguna forma o incluso redirigir directamente al usuario a un phishing, y esto deriva en fallos en el certificado o cambios en la cadena de verificación. Pero suponen una manera efectiva de robar información a un coste similar (por bajo) al del phishing.

Cómo funcionan

Son  muy populares en el malware brasileño. Consiguen su objetivo ayudándose de una característica propia de los navegadores: el PAC (proxy autoconfiguration). Se trata de código JavaScript que, colgado en alguna URL, es descargado e interpretado por el navegador para modificar su configuración. Por ejemplo, en Internet Explorer se añade una línea en:


Para automatizarlo, el troyano se encarga de, en Chrome y Firefox, modificar directamente el fichero prefs.js y en Internet Explorer, el registro correspondiente (el valor AutoConfigURL de Software\Microsoft\Windows\CurrentVersion\Internet Settings). El código necesario para configurar un proxy automática yselectivamente es, por ejemplo:


El código es bastante autoexplicativo. Aunque por supuesto, los atacantes lo ofuscan y vuelven a ofuscar con cualquier técnica para dificultar su lectura. En el caso concreto detectado contra la web mtgox.com de Brasil (una reputada web de intercambio de bitcoins), los atacantes colgaron este fichero PAC real en una web que simulaba proporcionar una actualización de Java (falsa, por supuesto) como reclamo:


La infección venía a su vez a través de un applet malicioso que modificaba la configuración del usuario.

Malware y bitcoins

Esta es una muestra más del interés que suscitan los bitcoins en el mundo del malware. Se puede considerar que las entidades que trabajan con esta moneda se han incorporado al conjunto de objetivos  de los troyanos bancarios. Esto viene a unirse al conjunto de malware que ataca a esta moneda en otros sentidos: Por un lado los que infectan a  usuarios para que minen (busquen) monedas sin su consentimiento y por otro los que roban la "cartera" de bitcoins a los usuarios que guarden ya códigos generados en ellas, haciéndose con la llave privada que se encuentra en wallet.dat.

Más información:

Malicious PACs and Bitcoins

Example PAC file

Hispasec @unaaldia: BitCoin: pronósticos cumplidos



Sergio de los Santos
Twitter: @ssantosv

No hay comentarios:

Publicar un comentario en la entrada