Durante unas horas, la página oficial de la popular cadena norteamericana NBC estuvo infectando con troyanos bancarios a los sistemas Windows no actualizados que la visitaran. Este incidente se suma a una larga lista de páginas populares de medios de comunicación comprometidas.
Hace unas semanas, se conocía que uno de los subdominios de Los Angeles Times había sido infectado al menos durante mes y medio. Al menos, la NBC ha sido comprometida solo durante unas horas. También otras de las páginas de sus programas. Se detectó que varios sitios web incluían IFRAMES de tamaño minúsculo que cargaban código que llevaba al visitante al kit de explotación Red Kit. Aquí, el programa intenta explotar (sorpresa) vulnerabilidades en Java (una muy reciente, CVE-2013-0422, arreglada en la versión 11) y Adobe Reader. De tener éxito, el usuario es infectado por una variante de Citadel (una familia de Zeus). El troyano se encargará de modificar la web del banco y robarle las credenciales (en la muestra se han encontrado como objetivo los más populares de Estados Unidos) para realizar transferencias sin su consentimiento.
Dancho Danchev ha observado los "whois" de algunos de los dominios. En ellos, el email de registro aparece un viejo conocido (lockwr@rocketmail.com), encargado de otras recientes campañas a gran escala, en las que se inducía a los usuarios a "desbloquear" su cuenta de Facebook visitando un enlace y otra que involucraba la imagen de Verizon. Esto podría demostrar que esta banda está actuando en paralelo a través de varios frentes y, sobre todo, a gran escala en Estados Unidos.
Los binarios descargados eran muy poco detectados por los antivirus en el momento en el que estaban siendo servidos. En el mejor de los casos, siete motores lo detectaban a través de Virustotal. Google se encargó rápidamente de bloquear la página y marcarla como peligrosa y Facebook bloqueó el acceso desde su portal.
Fines y medios
Una vez más, nos presentamos antes un ataque en el que la NBC es un mero intermediario, y no el fin. Quizás la NBC sea un sitio complejo de comprometer, pero lejos están los tiempos en los que el ataque en sí, demostrar que era posible, representaba el fin en sí mismo. Ahora, el valor de atacar la NBC no es la hazaña de conseguirlo, sino su potencial en visitas. Más visitas, más gente infectada. Más gente infectada, más beneficios. Y ese es el verdadero fin. Igual que ocurrió hace poco con Bit9, en el caso en el que los atacantes consiguieron robar un certificado privado de la compañía, con el único objetivo de atacar a terceros que se encontraban protegidos por su software. Los medios para conseguir el fin pueden llegar a ser complejos, pero hoy ya se traducen en simples efectos colaterales.
¿Qué hubiera pasado?
Aunque en este caso el malware estaba destinado a bancos norteamericanos, existen bandas muy activas que lo programan para atacar a víctimas que visitan numerosas cajas y bancos españoles. Por pequeña que parezca, hemos observado que los atacantes tienen en cuenta prácticamente todas las entidades bancarias españolas en su código. ¿Qué hubiera pasado si se lanza una campaña de este tipo en España?
Realicemos un ejercicio hipotético, sin más valor que el de concienciar sobre las cifras. La NBC.com , según Alexa ocupa el puesto 2.211 en visitas globalmente en la Red. Un medio de televisión español popular, por ejemplo RTVE.es, ocupa el puesto 1.915. Según la propia RTVE esto significa que ha sumado casi 14 millones de usuarios únicos en enero de 2013. Imaginemos que alguien lo compromete, y comienza a lanzar malware desde ese portal solo durante un día. Esto hace 500.000 potenciales víctimas. De ellas, descartemos los usuarios de tabletas y televisores (31,2% según RTVE), Mac y Linux (añadamos sobre un 9% más). Pensemos que solo un 60% de los visitantes es una potencial víctima. Esto nos deja en 300.000 máquinas Windows. Aunque se eliminen de la ecuación los usuarios parcheados y a los que les bloquea el antivirus, seguiría siendo una suculenta cifra. Incluso de los ya infectados, no todos caerían en la trampa, visitaría el banco antes de que su antivirus lo detectase, etc. Imaginemos que apenas un 1% de esos 300.000 finalmente es estafado. Estamos hablando de 3.000 usuarios. Los atacantes se atreven a traspasar hasta 3.000 euros por estafado cuando existe dinero en la cuenta y para no levantar sospechas, pero la media en el robo de este tipo son 1.000 euros. Esto nos sitúa en un negocio de unos hipotéticos 3 millones de euros en beneficios por conseguir una buena difusión... ¿Merece la pena?
Estamos seguros de que en la banda, los encargados de encontrar espacios en los que esparcir el malware, se habrán llevado una buena comisión por este "éxito" en la NBC.
Más información:
RTVE.ES logra el mejor enero de su historia con casi 14 millones de usuarios únicos
Dissecting NBC's Exploits and Malware Serving Web Site Compromise
Exploit Sat on LA Times Website for 6 Weeks
Sergio de los Santos
Twitter: @ssantosv
