Si mezclamos SSL con troyanos, el resultado es una completa confusión por parte del usuario. Un sistema troyanizado es un sistema en el que no se puede confiar, muestre el navegador una conexión segura o no. De nuevo, esta recomendación del candadito (válida, pero que necesita muchos matices) se convierte en un arma de doble filo. Si un sistema queda infectado, ya no solo puede aparecer el candadito, sino que el certificado puede ser válido y de hecho, estaremos en la página legítima del banco, pero nuestros datos pueden ser robados.
Las técnicas que usan los troyanos más difundidos hoy día, pueden invalidar la recomendación de la comprobación de la conexión segura. De hecho, los troyanos permiten la conexión a la página real del banco, pero pueden estar robando la información entre bambalinas gracias a diferentes técnicas.
Delephant
Esta técnica es usada por la escuela brasileña. Escrito habitualmente en Delphi, consiste en la recreación de la zona de introducción de contraseñas en una página de banca online. El troyano superpone una pequeña aplicación en la zona del navegador que pide las contraseñas, ajustando colores y estilo de la página en general, mimetizándose con ella. De esta forma el usuario no observa en principio diferencia alguna entre la página original (que está visitando y mantiene abierta) y el programa superpuesto que encaja perfectamente en la área de las contraseñas. Además, el código está adaptado para que, en caso de que la página sea movida o redimensionada, el programa realice cálculos de su posición y se ajuste perfectamente al lugar asignado. La víctima está en realidad introduciendo las contraseñas en una aplicación independiente, superpuesta sobre la página del banco, que obviamente al ser la legítima, pasa cualquier inspección de conexión segura.
Captura de imágenes y vídeos
Más propio del malware brasileño. Ante la llegada de los teclados virtuales en la banca online como método para evitar los registradores de teclas, el malware se adaptó con estos métodos de captura de credenciales. Consiste en la activación de un sistema de captura en forma de imágenes, de un sector de pantalla alrededor del puntero de ratón cuando éste pulsa sobre un teclado virtual. Con este método se consigue eludir el teclado virtual, pues el atacante obtiene imágenes de cada tecla del teclado virtual pulsada, en forma de miniatura o captura de pantalla. Una vez más, la conexión segura no impide el robo de información.
Formgrabbers
Esta es una de las técnicas más populares, característica de la escuela rusa. Consiste básicamente en la obtención de los datos introducidos en un formulario, y puede ser llevada a cabo a través de varios métodos, como Browser Helper Objects, interfaces COM o enganchándose (hooking) a APIs del sistema. Con estos métodos el usuario se conecta a la página legítima, donde lógicamente aparecerá el candadito y la conexión será cifrada y perfectamente normal. El troyano sin embargo inspeccionará el flujo de datos y desviará a otro servidor los que correspondan con las contraseñas que les interese. En el caso de necesitar de tarjeta de coordenadas o alguna clave especial para mover el dinero, añadirá al código de la página el campo o campos que necesite. Modifica el comportamiento del navegador para que al visitar la página legítima del banco, añada lo que necesite y lo desvíe donde quiera.
Si es necesario introducir nuevos campos que puedan resultar interesantes para el atacante, suelen ser mostrados desde un servidor con el que también contacta el malware. En ocasiones, el mismo binario puede contener la configuración necesaria (normalmente en XML) para inyectar el campo específico en el punto oportuno de la página, encajándolo con las etiquetas HTML adecuadas para que parezca legítimo. Con este campo adicional suelen intentar capturar la contraseña de operaciones que permite efectivamente realizar las transacciones. Cuando la entidad posee una tarjeta de coordenadas como método de autenticación, el malware suele añadir un número considerable de casillas en la petición de las coordenadas, o incluso todas.
Aunque la víctima sospeche por la modificación en la web, por más que compruebe no tiene más remedio que aceptar que se ha conectado a la página legítima. El problema está en su sistema.
Conclusiones
Existen otras muchas técnicas de robo de información basadas en troyanos. Los usuarios deben ser conscientes de que la seguridad SSL, el candado y la autenticación del servidor son condiciones imprescindibles a la hora de utilizar la banca online, y que deben ser comprobadas en cada ocasión. Pero también deben tener claro que esto no garantiza que, si el sistema está troyanizado, los datos no sean capturados.
ssantos@hispasec.com
Más información:
una-al-dia (03/06/2008) Mitos y leyendas: «Compruebe el candadito del navegador para estar seguro» I (Phishing)
http://www.hispasec.com/unaaldia/3510
Deja una respuesta