• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Malware / Phishing basado en troyanos

Phishing basado en troyanos

5 septiembre, 2005 Por Hispasec Deja un comentario

Recientemente se ha detectado un troyano destinado al robo de
credenciales bancarias. Hasta aquí nada nuevo, puesto que el malware
destinado a capturar las pulsaciones de teclado o los parámetros de
las páginas de autenticación llevan mucho tiempo entre nosotros. Si
bien en esta ocasión el troyano sólo preparaba el sistema para un
ataque a través de páginas web de phishing tradicional, lo que es
una prueba más de la íntima relación que guardan ambas técnicas.

Si se realiza un análisis técnico superficial, a primera vista puede
parecer un troyano como otro cualquiera, que modifica el archivo hosts
del sistema para que los dominios de las entidades bancarias apunten
a una IP determinada, y que monitoriza una serie de URLs de páginas
de autenticación para capturar las credenciales de los usuarios.

Sin embargo esa no es la estrategia del troyano, un análisis más
profundo revela que en realidad lo que hace es detectar cuando el
usuario intenta conectar con unas determinadas webs, y redirigirlo
hacia una página falsa que simula a la de la entidad, es decir,
hacia un phishing tradicional.

Si infectamos un sistema de prueba y nos fijamos en la modificación
del archivo hosts, podemos encontrar algunas irregularidades en el
largo listado de direcciones que incluye (a continuación sólo una
pequeña porción):

(null) onlineaccounts2.abbeynational.co.uk
(null) www3.aibgonline.co.uk
(null) http://www.bank.alliance-leicester.co.uk
(null) login.ibloing.com
…

Primero que no está realizando ninguna redirección efectiva, porque
en lugar de la IP incluye (null). Pero, y lo más importante, todas
las URLs son falsas, ninguna existe en realidad. En todos los casos
se incluye una errata a conciencia (falta o se cambia alguna letra,
etc.), aunque se intenta que la URL se parezca a la original a
simple vista.

Siguiendo el análisis del troyano a nivel superficial, podemos
encontrarnos con una serie de URLs en su código. De nuevo, si nos
fijamos, ninguna de las URLs es funcional, todas incluyen erratas,
ninguna se corresponde a los formularios de autenticación legítimos
de las entidades.

Esto salta a simple vista porque todas empiezan por http://, en vez
de https:// que suele ser lo usual y recomendado en el caso de los
formularios legítimos. Además, como ya ocurriera con el archivo de
hosts, también realizan pequeñas modificaciones en las URLs, y por
tanto no tendría sentido que el troyano las monitorizara para
capturar sus credenciales, que suele ser lo normal en este tipo de
troyanos.

La verdadera estrategia del gusano consiste en monitorizar la URL
del navegador del usuario para detectar cuando intenta dirigirse
a uno de los sitios web de las entidades, y redirigirlo a una web
falsa de phishing. Para ello no utiliza URLs concretas, sino que
lo hace mediante palabras claves o porciones de URL.

Por ejemplo, si el usuario intenta navegar por una dirección que
contiene «myonlineaccounts2.abbeynational.co.uk» o
«/CentralLogonWeb/Logon», el troyano automáticamente lo redirecciona a
http://onlineaccounts2.abbeynational.co.uk/uk/ab/CentralLogonWeb/Logon

En realidad esa URL no existe, tiene una errata en el dominio, pero
funcionará porque el troyano introdujo en el archivo hosts la línea
«onlineaccounts2.abbeynational.co.uk» y por tanto el sistema ahora la
resuelve, la reconoce.

De esta forma el usuario verá en su navegador una dirección muy
parecida a la legítima, lo que dificultará que a simple vista se de
cuenta de que está navegando por una página falsa.

Por último queda una incógnita sin resolver. Como dijimos al
principio, en estos momentos el troyano introduce el valor (null) en
vez de una IP en el archivo hosts. Es decir, hoy por hoy el troyano
ya no se encuentra funcionalmente activo, ya que no es capaz de
redirigir a los usuarios infectados a las webs falsas de phishing.

Esto es debido a que el troyano introduce la IP de forma dinámica. En
el momento de infectar un sistema resuelve el dominio banks.wayser.net,
e introduce en el archivo hosts la IP obtenida.

Cuando el troyano fue detectado por los laboratorios antivirus los
detalles fueron compartidos con las autoridades competentes y grupos
gubernamentales de respuesta ante incidentes con los que colaboran, de
forma que facilitaron la desactivación del dominio. Por ejemplo, el
laboratorio de Panda fue el que recientemente sacó a la luz este
troyano, y regularmente notifican los datos de interés para que las
autoridades pertinentes puedan llevar a cabo investigaciones, como
es el caso del Grupo de Delitos Telemáticos de la Guardia Civil.

Eso explica que cuando el troyano intenta resolver el dominio, para
introducir la IP en el archivo hosts, obtiene el valor (null), ya
que fue desactivado hace semanas.

En el laboratorio de Hispasec estamos monitorizando, entre otros
malware, una segunda versión de este troyano con las mismas entidades
implicadas. En esta ocasión utiliza tres dominios diferentes en vez de
uno para resolver la IP, dos de los cuales resuelven.

Aunque la IP que resuelven no contiene en estos momentos las
páginas de phishing, la confirmación de que dos de los dominios
aun resuelvan puede ser indicativo de que estén bajo el control
de los phishers y por tanto sujetos a que en cualquier momento
puedan apuntar a una nueva IP donde hospedar las páginas de
phishing.

Por ejemplo, entre otras, las IPs a las que en algún momento han
apuntado este troyano han sido:

141.225.152.142
194.215.189.33
204.9.190.180
209.107.25.67
216.138.184.21
64.39.14.226
69.15.98.210
70.84.252.218
80.86.191.181

El hecho de que una entidad no se vea reflejada específicamente en el
código de un troyano no quiere decir que sus clientes estén a salvo,
ya que son muchos los troyanos que utilizan técnicas genéricas
destinados a capturar las credenciales de cualquier página de
autenticación, de manera independiente a su dirección. En concreto,
hay entidades que nunca han recibido ataques de phishing tradicional
ni aparecen como blanco de ningún código malicioso, pero sin embargo
sus clientes han sufrido robos a través de Internet derivados de la
acción de los troyanos.

La monitorización de este tipo de malware por parte de las entidades
para tomar medidas reactivas y preventivas es realmente complicada,
debido principalmente a su diversificación y volumen. Sin ir más
lejos, en VirusTotal podemos llegar a recibir en un día decenas de
nuevos troyanos relacionados con el phishing y entidades bancarias.
No obstante se trabaja en ello.

El servicio VirusTotal (http://www.virustotal.com) de Hispasec, en
cooperación con las casas antivirus, mantiene un sistema de
distribución. En estos momentos son miles de usuarios alrededor de
todo el mundo los que utilizan este servicio para enviar archivos
sospechosos. Cuando VirusTotal detecta un archivo infectado, y si
el remitente no índica lo contrario a través de una opción de
distribución, automáticamente se envía la muestra a los laboratorios
antivirus que aun no lo detectan. De esta forma se intenta mitigar
el impacto de virus, gusanos, troyanos, y demás fauna, entre los
usuarios.

Hispasec Sistemas también mantiene un servicio antiphishing destinado
a entidades bancarias, donde además de diversas medidas preventivas y
reactivas contra el phishing tradicional, aprovecha su conocimientos y
experiencia en el análisis de malware y cooperación con los
laboratorios antivirus.

A día de hoy el phishing se ha convertido en un negocio en todos
los sentidos. De manera independiente a la protección antivirus de
los clientes y de los servicios antiphishing que puedan disponer las
entidades, existe un área de oportunidad importante en la
cooperación no comercial a diferentes niveles para luchar contra el
phishing, ya que se trata de un problema global con múltiples agentes
implicados a la hora de aplicar medidas reactivas y preventivas.

Bernardo Quintero
bernardo@hispasec.com

Más información:

27/07/2005 – Troyanos y phishing, una amenaza en alza
http://www.hispasec.com/unaaldia/2468

VirusTotal
http://www.virustotal.com

Antiphishing y Sistemas Antifraude
http://www.hispasec.com/corporate/antiphishing.html

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

  • View all posts by Hispasec →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: Malware

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Vulnerabilidad zero-day en AWS Glue
  • Tamagotchi para hackers: Flipper Zero
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Técnica permite modificar ficheros PDF con firma digital
  • Evasión de CloudTrail en AWS a través de API no documentada

Entradas recientes

  • Vulnerabilidad zero-day en AWS Glue
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR