12
julio
2006

Troyano bancario que inyecta código a la sesión https

tiene cierta solera y siguen publicando versiones
[Phishing] 
Algunos nos pedisteis que publicáramos algo de las presentaciones sobre phishing. Vamos a ver a un troyano representativo, más que por lo que pueda tener de innovador, porque lleva varios meses infectando a usuarios españoles y continúan apareciendo versiones periódicas. No se trata pues de algo teórico que pudiera ocurrir o una prueba de concepto de laboratorio, por desgracia es algo común.


Lo curioso es que cuando lo enseñamos no deja de sorprender, lo que viene a evidenciar de que existe una importante área de oportunidad en la (in)formación sobre este tipo de amenazas que son menos perceptibles y pasan más desapercibidas que el típico ataque de phishing.


Sin ánimo de crear alarmismo, es importante que informemos y eduquemos a los usuarios de una forma más genérica en la cultura de la seguridad, ya que las recomendaciones concretas y recetarios dados hasta ahora no son suficientes debido a la evolución en las técnicas de fraude.


El no hacer caso a los correos de phishing, teclear la URL directamente en el navegador, comprobar que la dirección pertenece realmente a nuestro banco, asegurarse de que la URL comienza por https, o que el icono del candado aparece en la parte inferior de nuestro navegador, son recomendaciones útiles para el phishing tradicional, pero no contra los troyanos.


También hay una clara necesidad de (in)formación a nivel profesional. A juzgar por la continua implantación de teclados virtuales cualquiera diría que las entidades financieras creen que la técnica keylogger es la más utilizada por los troyanos, cuando en realidad está en plena decadencia.


Queda también evidenciado que no se puede dejar caer el peso de la responsabilidad en los usuarios. Las técnicas avanzadas que, repito, se están empleando a día de hoy, pueden pasar totalmente desapercibidas para un usuario avanzado, hay ocasiones (no es el caso de este troyano) en que no hay ningún signo visible que pueda alertar sobre que se está siendo víctima de un ataque.


Que las entidades pueden/deben establecer mecanismos de autenticación más robustos es una necesidad que no tiene discusión, otra cosa son los múltiples condicionantes que hacen que no sea fácil llevarlo a cabo. También hay que mencionar que es un problema global, aunque a día de hoy les haya tocado sufrirlo a las entidades financieras por ser el camino más directo al dinero para los atacantes.


En cualquier caso el phishing no acabara ahí, y de nuevo no hablamos de teorías de laboratorio o pruebas de concepto, hace apenas unos días se detectó un ataque contra Citibank, sus tokens y el famoso sistema de doble factor de autenticación.


El phishing y técnicas similares, en definitiva el fraude por Internet, es un tema complejo, una carrera de fondo, que va a requerir la cooperación de muchas partes. De momento los "buenos" ni siquiera hemos aprendido a colaborar, estamos demasiado ocupados defendiendo intereses particulares y echando balones fueras, mientras tanto los "malos" no dejan de correr... nos llevan una buena ventaja.


Casi se me olvida... aquí teneis el enlace al vídeo-flash sobre el troyano que comentaba al inicio:


Pincha aqui para ver el video del troyano a Banesto


pd: disculpas adelantadas a Banesto si es que les molesta servir de ejemplo, van dos seguidas, pero es puramente circunstancial. Para la próxima nos aseguraremos de que no les toque.


Enviado por bquintero a las 00:30 | Enlace permanente | Comentarios (10) | Trackbacks (0)
Comentarios
Re: Troyano bancario que inyecta código a la sesión https

no funciona el video del troyano (al menos a mi), al abrir la pagina se ve codigo de este tipo:

‹uRÛnÛ0 }/ÐPµ— ¨¬¤¹5]\`´@·C†aO-3±6Ùr-:nþ~’ã¦Àé

uso IE 7.0.5346.5CO beta2

Posted by: mAnu at julio 12,2006 12:19
Re: Troyano bancario que inyecta código a la sesión https

mAnu: ¿sales por un proxy web corporativo?...cuando te salga la página con la "basura" en el navegador, pulsa Ctrl+F5

Posted by: bquintero at julio 12,2006 13:25
Re: Troyano bancario que inyecta código a la sesión https

Hola, lo primero que quería comentar es que no soy un profesional de la informática. Simple aficionado que por medio del ensayo/error procura cada día aprender algo nuevo. Hispasec, como no, fundamental en este cometido.

Lo primero es que soy habitual de la banca por internet. Viendo el video de los, cada dia, más sofisticados métodos para robar a los usuario me he decidio a comentar como accedo a mi banco por internet. Viendo como se ponía el panorama hace meses que utilizo este método.

Lo expongo aqui por si pudiera servir de ayuda a alguien, o simplemente, para que alguien me diga si es un método equivocado o menos seguro.

El sistema es fácil. Tengo siempre actualizado un sistema CD-Live Linux. Cuando quiero acceder a la banca electrónica meto mi CD, reinicio y así (creo yo, nunca se sabe!) consigo un entorno Linux que bajo mi modesto punto de vista es más seguro que el windows que utilizo habitualmente.
Tecleo mi dirección en el navegador, nunca leo correos antes ni por supuesto accedería bajo una invitación en un link, y así realizo mis operaciones.

Esto es todo amigos :)

Un saludo,
Francisco Pérez (Asturias)

Posted by: Francisco Pérez at julio 12,2006 21:11
Re: Troyano bancario que inyecta código a la sesión https

francisco: Hace tiempo escuché que una entidad alemana repartió un livecd a sus clientes por el mismo motivo. La verdad es que desde el punto de vista de seguridad es una buena medida, primero porque tienes un sistema limpio cada vez que inicias (y accedes directamente a la banca, no dando muchas facilidades a infectarte con otras "prácticas"), y segundo porque encima es linux (y el tema de troyanos bancarios, a día de hoy, está orientado exclusivamente a Windows).

El vector de ataque que se me ocurre, a bote pronto, es un pharming si utilizas DNS externos. La solución sería dejar la resolución del dominio del banco en local.. pero vamos, son cosas ya en plan paranoico total. Tal y como lo estás haciendo ahora me parece una solución muy segura y efectiva en relación a los ataques que hay a día de hoy.

Supongo que desde el punto de vista de una entidad que quisiera implantar esta solución el problema que surge es el de soporte ante un parque tan heterogéneo (gente que por cualquier motivo no le funcione el livecd como debiera), y segundo es un problema de usabilidad (no todo el mundo está dispuesto a tener que reiniciar el ordenador cada vez que quiere entrar a la banca).

Pero lo dicho, para alguien concienciado con la seguridad con ciertas habilidades informáticas (aunque te proclames como no profesional, no todo el mundo sabe lo que es un livecd ni se le ocurren estas cosas), es una medida excelente. Felicidades!

Posted by: bquintero at julio 12,2006 23:24
Re: Troyano bancario que inyecta código a la sesión https

Yo estoy dispuesto a reiniciar mi PC las veces que sean necesarias si con eso garantizan que no voy a perder dinero.

Posted by: BaGE87 at julio 13,2006 02:39
Re: Troyano bancario que inyecta código a la sesión https

Por cierto, ¿qué ha pasado con las reacciones de los antivirus de Virustotal?

Antes en Una al día, aparecían con mucha frecuencia el tiempo de reacción de cada antivirus ante una nueva amenaza, o alguna variante... en lo personal me agradaba pues me daba una idea de que antivirus reaccionaba por heurística, cuales de plano no lo detectaban hasta 4 días después, et cætera...

Espero que lo sigan incluyendo...

Saludos

Posted by: Angel at julio 13,2006 07:14
Re: Troyano bancario que inyecta código a la sesión https

Creo que hay que aplicar siempre el sentido común. No se puede dar la clave de firma o las coordenadas de firma sin estar realizando una operación o dando una orden. Si te piden la llave de casa, aunque sea una persona conocida es para algo concreto. No porque sí.

Por otra parte es muy conveniente desactivar la opción de Windows de recordar Usuarios y Passwords, que es muy práctica, pero muy peligrosa.

Por descontado que hay que tener un antivirus actualizado.

Por cierdo, ¿alguíen sabe algo de un troyano que pide diez coordenadas de la tarjeta de firma?. Por lo visto hay gente que las introduce.

Saludos.

Posted by: Jordi at julio 13,2006 09:05
Re: Troyano bancario que inyecta código a la sesión https

"de momento,los "buenos" estamos echando balones fuera, mientras los "malos" no paran de correr"

Cómo se vé que el mundial de fútbol acaba de pasar...

Pero si lo pensamos mejor, los "malos"; no seríamos los que echamos balones fuera, y los "buenos" los que corren y hacen juego???

Y sólo con scripts?::?

Script Kiddies?!!!!? (Traducción: Guiones Niñatos?!!!!?)

Estamos apañados..

Posted by: sopadeajo at julio 14,2006 03:03
Re: Troyano bancario que inyecta código a la sesión https

angel: los tiempos de reacciones antivirus es cierto que es un tema pendiente, de hace un tiempo a esta parte no hemos publicado nada al respecto. A coincidido con el cambio en la producción de malware, antes lo hacíamos con los gusanos de propagación masiva que salían periódicamente. Ahora apenas hay muestras "representativas", porque hay mucha producción de malware pero ninguna se "destaca". Si, tenemos que pensar como meterle mano de nuevo al tema, a ver de que forma podemos elegir esas muestras "representativas".

échale un ojo a: http://blog.hispasec.com/laboratorio/133

jordi: el sentido común... tal vez no sea tan común ;)

respecto a pedir coordenadas, hay más de un caso donde han pedido la tarjeta entera, o donde directamente piden que le mandes una copia por fax: http://blog.hispasec.com/laboratorio/40

sopadeajo: lo de los balones será el subconsciete... ya que lo tenía casi olvidado... no me recuerdes el mundial!!

Posted by: bquintero at julio 14,2006 10:19
Re: Troyano bancario que inyecta código a la sesión https

Me podrian decir si puedo descargar estos videos para ralizar con ellos un presentacion y desde que pagina. Gracias

Posted by: Arnaldo Ortigoza at noviembre 01,2007 18:43
Trackbacks
Por favor envía los trackbacks a: http://blog.hispasec.nospam/laboratorio/135/tbZ3ping
Reemplazando "nospam" por "com"
No hay trackbacks.
Enviar un comentario