La página web del banco de la India ha sido atacada de alguna forma y
dese hace varias horas se ha convertido en un foco (involuntario) de
infección para usuarios de Windows que no tengan su sistema
actualizado. Visitando la página web legítima y real del banco, el
usuario quedaba (irónicamente) infectado por varios troyanos bancarios
destinados a robar sus contraseñas de acceso a la banca online.
SunBelt destapaba el problema. La página web del Banco de la India
mostraba en su código varios IFRAME inyectados, de forma que quien la
visitaba acudía (de forma automática y transparente) también a otras
webs sin «quererlo». Desde esos «marcos» (IFRAMES) «ocultos» en la
web, al ser cargados con el navegador, se intentaban aprovechar varias
vulnerabilidades de sistema conocidas para descargar y ejecutar
troyanos bancarios.
Es un tipo de ataque muy similar al que describimos aquí en junio de
este mismo año y que afectó a más de 11.000 páginas europeas. En esa
ocasión, Mpack estaba detrás de este ataque, y consiguieron tal
volumen de webs comprometidas porque se tuvo acceso a un servidor
italiano que las alojaba a todas.
En esta ocasión, parece que han tenido acceso de alguna forma al
servidor del Banco de la India y los Windows no actualizados que la
visiten quedaban infectados por hasta 22 tipos de malware distintos
(la mayoría destinados a robar contraseñas o enviar correo basura). El
ataque consiste en una primera descarga y ejecución de un «loader.exe»
y es este (una vez con el control de la víctima) quien se encarga de
descargar otro tipo de malware e infectar al sistema. Son varios los
IFRAME incrustados, y por tanto varias las webs que intentan de
alguna forma infectar al sistema a través de código JavaScript
ofuscado.
Algunas URL de los atacantes han sido ya desactivadas, pero otras
permanecen todavía online. El Banco de la India ha «limpiado» ya su
página web, pero el ataque y los IFRAME han permanecido entre 5 y 10
horas en su código web (en horario comercial de la India), accesible
a todo visitante.
Los datos robados van a parar a un FTP en Rusia. Como curiosidad, uno
de los troyanos que infecta a las víctimas busca archivos catalogados
como «en cuarentena» por el motor antivirus de turno en los sistemas
de los infectados y los sube al servidor FTP del atacante.
Siempre hemos hablado de la posibilidad de que páginas de confianza
sufran ataques y se conviertan en foco de infección. En esta ocasión
llama la atención que sea precisamente la página de un importante
banco la que haya visto eludida toda su seguridad y convertido en un
irónico foco de infección de troyanos bancarios.
Aunque queramos pensar que la importancia (y presupuesto) de una web
está indiscutible y directamente relacionada con su nivel de
protección, desgraciadamente no siempre es así. La seguridad se
fundamenta en muchos factores, y no siempre el dinero podrá
protegerlos todos eliminando cualquier riesgo. Este no es el primer
ejemplo ni será el último, desde luego.
En cualquier caso, el Banco de la India se enfrenta ahora, una vez que
(tras un tiempo quizás excesivamente largo) ha eliminado el foco, a un
serio problema de confianza ante sus clientes y a una profunda
revisión de sus sistemas de seguridad (e incluso, de su plantilla).
ssantos@hispasec.com
Más información:
19/06/2007 Alerta: Ataque a gran escala contra webs europeas afecta a miles de usuarios
http://www.hispasec.com/unaaldia/3160
Breaking: Bank of India seriously compromised
http://sunbeltblog.blogspot.com/2007/08/breaking-bank-of-india-seriously.html
Deja un comentario