Existen decenas de miles de versiones de Spyeyeque atacan a cientos de entidades bancarias. Pero en nuestro laboratorio no habíamos visto aún una muestra orientada exclusivamente a bancos de Latinoamérica. Hasta ahora, estas entidades han sido atacadas por troyanos mucho más simples, pero parece que ya han entrado en el peligroso circuito de los troyanos más sofisticados.
Las nuevas versiones de Spyeye funcionan de la siguiente manera: Cuando un usuario infectado se presenta en la página de su entidad bancaria en línea, el troyano modifica la web. Se inyecta en el navegador (Firefox e Internet Explorer) y cambia el resultado que se muestra a la víctima, de forma que aparece, por ejemplo, un formulario solicitando todas las coordenadas de su tarjeta. Para ello, los atacantes han debido estudiar previamente la página legítima para saber dónde colocar los nuevos elementos.
El usuario no ha sido víctima de un phishing o un pharming (ataques para los que están más acostumbrados), sino que se encuentra en la web real de su banco. Las credenciales robadasirán a parar a un servidor web centralizado del atacante, donde recopilará toda la información a través de una cómoda interfaz.
Los bancos americanos y europeos han sido tradicionalmente los más atacados por este tipo de muestras. Hasta ahora, quizás para los atacantes de América Latina era suficiente con troyanos mucho más simples, como los típicos keyloggers, modificadores de hosts, etc. Sin embargo, esta muestra localizada ataca en concreto a cuatro entidades(lo que también llama la atención por ser un número muy bajo. Lo normal es que afecten a más de una docena). Tres de los bancos son panameños y el último, de Honduras.
La muestra analizada además presenta algunas curiosidades con respecto al Spyeye tradicional. Por ejemplo, usa un nombre de directorio diferente. Si bien suele crear un directorio en la raíz C: llamado $recycle.bin$, este directorio se llama C:\Recys.Bin.
Otra curiosidad es que esta versión no depende de un archivo de configuración que sea descargado. Si bien sí que lo descarga, la configuración que contiene los bancos que debe atacar se encuentra incrustada en el propio código del binario, lo que no es habitual.
Por último, destacar que toda su infraestructura está basada en dominioscon nombres en castellano de contenido sexual, pero de nacionalidad rusa. Así, podemos encontrar varios dominios donde se aloja la infraestructura tales como ojosxxx.ru y putitas.ru.
Laboratorio Hispasec
interesante post