Que el asunto de los troyanos orientados al fraude bancario se está
poniendo muy serio es algo que podemos comprobar en Hispasec día a día
en nuestro servicio VirusTotal. Son literalmente cientos los que son
analizados en el servicio cada día, y esta legión no está formada sólo
por variantes de las familias ya clásicas (Bifrose, Goldun, Zagaban,
Psyme, etc.) sino también por nuevos ejemplares que se suman a
las filas de esta amenaza creciente.
Los códigos TAN (Transaction Authentication Number, Número de
Autenticación de Transacción para los hispanoparlantes) son utilizados
por algunas entidades bancarias como una forma para reforzar la
seguridad a la hora de realizar operaciones desde las cuentas online.
Básicamente se trata de claves de un solo uso que el usuario puede
recibir de su entidad bancaria por ejemplo vía SMS (una vez por código)
o por correo ordinario (una lista para varios usos). Teóricamente, este
mecanismo de ‘doble autenticación’ ofrece una protección mayor que el
uso de una clave de autenticación inicial con el banco más el uso típico
de una secundaria para realizar operaciones.
Sin embargo, y como es natural, los desarrolladores de malware van
modificando sus criaturas para adaptarse a nuevos retos. Otro
representante de las anteriormente nombradas familias clásicas de
troyanos, con denominación Kaspersky Trojan-Spy.Win32.Goldun.im, ha
optado por añadir a sus múltiples capacidades (entre las que se
encuentra funcionalidad rootkit para ocultarse convenientemente en el
sistema) la captura de estos códigos de transacción para poder realizar
sus actividades fraudulentas.
Este ejemplar utiliza un sistema sencillo man-in-the-middle, pero que si
es convenientemente explotado, puede ser sumamente eficiente:
interceptando la comunicación HTTPS con las entidades afectadas (en este
caso dos bancos alemanes: Postbank y Deutsche Bank), captura el TAN que
envía el usuario y seguidamente muestra un mensaje de error a la
víctima. Mientras ésta se pregunta que demonios ha pasado, llega para el
atacante el momento de hacer rápido uso de dicho TAN para poder acceder
a la cuenta de la víctima, dado el periodo de vida limitado que tiene
dicho código de transacciones.
Visto de forma global, en realidad este ejemplar de malware no
constituye ninguna novedad técnica, pero pone de nuevo en evidencia que
ningún sistema de protección es infalible a lo largo del tiempo contra
la cada vez más agresiva acción de este tipo de amenazas.
Como de costumbre, ante este tipo de actividades lo recomendable es
seguir al menos unas cuantas directrices técnicas, como mantener
convenientemente parcheado el sistema operativo, usar un buen antivirus
y un igualmente competente firewall personal. Sin embargo, lo más
importante es aplicar el sentido común, sobre todo en lo referente
a los hábitos de navegación y al tratar con el correo electrónico.
jcanto@hispasec.com
Más información:
Trojan intercepts bank tokens
http://www.theregister.co.uk/2006/03/24/trojan_captures_token/
New Bank Trojans
http://www.viruslist.com/en/weblog?weblogid=182627508
Deja un comentario