Recientemente se ha detectado un troyano destinado al robo de
credenciales bancarias. Hasta aquí nada nuevo, puesto que el malware
destinado a capturar las pulsaciones de teclado o los parámetros de
las páginas de autenticación llevan mucho tiempo entre nosotros. Si
bien en esta ocasión el troyano sólo preparaba el sistema para un
ataque a través de páginas web de phishing tradicional, lo que es
una prueba más de la íntima relación que guardan ambas técnicas.
Si se realiza un análisis técnico superficial, a primera vista puede
parecer un troyano como otro cualquiera, que modifica el archivo hosts
del sistema para que los dominios de las entidades bancarias apunten
a una IP determinada, y que monitoriza una serie de URLs de páginas
de autenticación para capturar las credenciales de los usuarios.
Sin embargo esa no es la estrategia del troyano, un análisis más
profundo revela que en realidad lo que hace es detectar cuando el
usuario intenta conectar con unas determinadas webs, y redirigirlo
hacia una página falsa que simula a la de la entidad, es decir,
hacia un phishing tradicional.
Si infectamos un sistema de prueba y nos fijamos en la modificación
del archivo hosts, podemos encontrar algunas irregularidades en el
largo listado de direcciones que incluye (a continuación sólo una
pequeña porción):
(null) onlineaccounts2.abbeynational.co.uk
(null) www3.aibgonline.co.uk
(null) www.bank.alliance-leicester.co.uk
(null) login.ibloing.com
…
Primero que no está realizando ninguna redirección efectiva, porque
en lugar de la IP incluye (null). Pero, y lo más importante, todas
las URLs son falsas, ninguna existe en realidad. En todos los casos
se incluye una errata a conciencia (falta o se cambia alguna letra,
etc.), aunque se intenta que la URL se parezca a la original a
simple vista.
Siguiendo el análisis del troyano a nivel superficial, podemos
encontrarnos con una serie de URLs en su código. De nuevo, si nos
fijamos, ninguna de las URLs es funcional, todas incluyen erratas,
ninguna se corresponde a los formularios de autenticación legítimos
de las entidades.
Esto salta a simple vista porque todas empiezan por http://, en vez
de https:// que suele ser lo usual y recomendado en el caso de los
formularios legítimos. Además, como ya ocurriera con el archivo de
hosts, también realizan pequeñas modificaciones en las URLs, y por
tanto no tendría sentido que el troyano las monitorizara para
capturar sus credenciales, que suele ser lo normal en este tipo de
troyanos.
La verdadera estrategia del gusano consiste en monitorizar la URL
del navegador del usuario para detectar cuando intenta dirigirse
a uno de los sitios web de las entidades, y redirigirlo a una web
falsa de phishing. Para ello no utiliza URLs concretas, sino que
lo hace mediante palabras claves o porciones de URL.
Por ejemplo, si el usuario intenta navegar por una dirección que
contiene «myonlineaccounts2.abbeynational.co.uk» o
«/CentralLogonWeb/Logon», el troyano automáticamente lo redirecciona a
http://onlineaccounts2.abbeynational.co.uk/uk/ab/CentralLogonWeb/Logon
En realidad esa URL no existe, tiene una errata en el dominio, pero
funcionará porque el troyano introdujo en el archivo hosts la línea
«onlineaccounts2.abbeynational.co.uk» y por tanto el sistema ahora la
resuelve, la reconoce.
De esta forma el usuario verá en su navegador una dirección muy
parecida a la legítima, lo que dificultará que a simple vista se de
cuenta de que está navegando por una página falsa.
Por último queda una incógnita sin resolver. Como dijimos al
principio, en estos momentos el troyano introduce el valor (null) en
vez de una IP en el archivo hosts. Es decir, hoy por hoy el troyano
ya no se encuentra funcionalmente activo, ya que no es capaz de
redirigir a los usuarios infectados a las webs falsas de phishing.
Esto es debido a que el troyano introduce la IP de forma dinámica. En
el momento de infectar un sistema resuelve el dominio banks.wayser.net,
e introduce en el archivo hosts la IP obtenida.
Cuando el troyano fue detectado por los laboratorios antivirus los
detalles fueron compartidos con las autoridades competentes y grupos
gubernamentales de respuesta ante incidentes con los que colaboran, de
forma que facilitaron la desactivación del dominio. Por ejemplo, el
laboratorio de Panda fue el que recientemente sacó a la luz este
troyano, y regularmente notifican los datos de interés para que las
autoridades pertinentes puedan llevar a cabo investigaciones, como
es el caso del Grupo de Delitos Telemáticos de la Guardia Civil.
Eso explica que cuando el troyano intenta resolver el dominio, para
introducir la IP en el archivo hosts, obtiene el valor (null), ya
que fue desactivado hace semanas.
En el laboratorio de Hispasec estamos monitorizando, entre otros
malware, una segunda versión de este troyano con las mismas entidades
implicadas. En esta ocasión utiliza tres dominios diferentes en vez de
uno para resolver la IP, dos de los cuales resuelven.
Aunque la IP que resuelven no contiene en estos momentos las
páginas de phishing, la confirmación de que dos de los dominios
aun resuelvan puede ser indicativo de que estén bajo el control
de los phishers y por tanto sujetos a que en cualquier momento
puedan apuntar a una nueva IP donde hospedar las páginas de
phishing.
Por ejemplo, entre otras, las IPs a las que en algún momento han
apuntado este troyano han sido:
141.225.152.142
194.215.189.33
204.9.190.180
209.107.25.67
216.138.184.21
64.39.14.226
69.15.98.210
70.84.252.218
80.86.191.181
El hecho de que una entidad no se vea reflejada específicamente en el
código de un troyano no quiere decir que sus clientes estén a salvo,
ya que son muchos los troyanos que utilizan técnicas genéricas
destinados a capturar las credenciales de cualquier página de
autenticación, de manera independiente a su dirección. En concreto,
hay entidades que nunca han recibido ataques de phishing tradicional
ni aparecen como blanco de ningún código malicioso, pero sin embargo
sus clientes han sufrido robos a través de Internet derivados de la
acción de los troyanos.
La monitorización de este tipo de malware por parte de las entidades
para tomar medidas reactivas y preventivas es realmente complicada,
debido principalmente a su diversificación y volumen. Sin ir más
lejos, en VirusTotal podemos llegar a recibir en un día decenas de
nuevos troyanos relacionados con el phishing y entidades bancarias.
No obstante se trabaja en ello.
El servicio VirusTotal (http://www.virustotal.com) de Hispasec, en
cooperación con las casas antivirus, mantiene un sistema de
distribución. En estos momentos son miles de usuarios alrededor de
todo el mundo los que utilizan este servicio para enviar archivos
sospechosos. Cuando VirusTotal detecta un archivo infectado, y si
el remitente no índica lo contrario a través de una opción de
distribución, automáticamente se envía la muestra a los laboratorios
antivirus que aun no lo detectan. De esta forma se intenta mitigar
el impacto de virus, gusanos, troyanos, y demás fauna, entre los
usuarios.
Hispasec Sistemas también mantiene un servicio antiphishing destinado
a entidades bancarias, donde además de diversas medidas preventivas y
reactivas contra el phishing tradicional, aprovecha su conocimientos y
experiencia en el análisis de malware y cooperación con los
laboratorios antivirus.
A día de hoy el phishing se ha convertido en un negocio en todos
los sentidos. De manera independiente a la protección antivirus de
los clientes y de los servicios antiphishing que puedan disponer las
entidades, existe un área de oportunidad importante en la
cooperación no comercial a diferentes niveles para luchar contra el
phishing, ya que se trata de un problema global con múltiples agentes
implicados a la hora de aplicar medidas reactivas y preventivas.
bernardo@hispasec.com
Más información:
27/07/2005 – Troyanos y phishing, una amenaza en alza
http://www.hispasec.com/unaaldia/2468
VirusTotal
http://www.virustotal.com
Antiphishing y Sistemas Antifraude
http://www.hispasec.com/corporate/antiphishing.html
Deja un comentario