Por lo general conocemos a los troyanos bancarios a través de su descripción técnica, donde analizamos como infectan los sistemas o que técnicas utilizan para capturar los datos. Hoy os propongo acercarnos desde otra perspectiva menos conocida y práctica.
A través de un caso concreto, contestaremos preguntas cómo ¿cuántos sistemas infecta en un día? ¿qué cantidad de datos puede recopilar? ¿cuántas capturas por usuario y día logra? ¿además de a las entidades bancarias afectan a otros servicios? ¿qué número de capturas corresponden a dominios españoles?, etc.
Estos datos no parten de una simulación o estimacion, corresponde a los datos capturados por un troyano real que está infectando sistemas. Tampoco pueden extrapolarse a la ligera, se trata de los datos reales de un día cualquiera de una variante concreta, así que a todos los efectos deben tomarse como un ejemplo aislado.
El sistema utilizado por estos estafadores consta de dos partes bien diferenciadas, por un lado el troyano que infecta a los clientes (que es lo que solemos conocer en los análisis de troyanos), y por otro los scripts en un servidor web donde el troyano envía los datos capturados y recoge nuevas instrucciones (actualizaciones, comandos, etc). Además desde estos scripts los estafadores gestionan toda la información capturada, pueden hacer filtros por entidades concretas, enviar comandos a los troyanos que se hospedan en los sistemas de determinados usuarios, etc.
Algunos datos de la variante que nos ocupa
Empezó a distribuirse hace dos semanas, el primer día logró infectar más de 2.500 sistemas. A día de hoy suma 8.099 infecciones, lo que supone una media de unas 578 infecciones por día.
En cuanto al origen de los infectados, tenemos Alemania (107), Austria (22), Australia (230), Bélgica (33), Canadá (76), China (33), Dinamarca (26), España (246), Estados Unidos (981), Francia (85), Gran Bretaña (172), Italia (92), Japón (103), Korea (34), Rusia (2313), Suecia (43), Turquía (24). Resto (3479).
Como se puede apreciar, hay un gran número de sistemas catalogados como "Resto", donde estarán las infecciones en el resto de países, como por ejemplo en la zona de latinoamérica. Por alguna razón que desconocemos, los estafadores tienen especial interés en los países mencionados individualmente, y así los contemplan en sus scripts.
Datos recopilados en un día concreto
El log en bruto de un día concreto puede alcanzar más de 100MB. En el día que nos ocupa los estafadores reciben en su servidor datos de 396 ordenadores distintos infectados cuyos usuarios han accedido a servicios por Internet suceptibles de que sus claves de acceso sean capturadas.
Las estadísticas por servidores webs arrojan que se han capturado datos de 1.955 dominios diferentes, 33 de ellos corresponden a dominios españoles ".es". De los 33 dominios ".es" distintos, 10 son de bancos y cajas de ahorro, algunos de ellos con varios clientes afectados el mismo día. ¿Y el resto?
Normalmente se asocia los troyanos tipo "banker" a entidades financieras, pero la realidad es que capturan datos de otros servicios por Internet. En el caso que nos ocupa, el resto se reparte entre claves de acceso a cuentas tipo webmail, usuarios y claves de comercios online de grandes superficies, y otro tipo de servicios que requieren autenticación, desde intranets de empresas privadas hasta juegos y chats online.
Si salimos de los dominios ".es", se pueden apreciar capturas de datos de servicios aun más heterogéneos. Por ejemplo, datos de tarjetas de crédido introducidos en servicios de publicidad relacionados con el programa Adsense/Adworks de google.com.
En cuanto a nuestros amigos del otro lado del charco, por dominios de páginas webs afectadas encontramos, este día concreto, sitios de Argentina, Bolivia, Brasil, Chile, Colombia, Costa Rica, México, Perú y Venezuela.
Estos son, a grandes rasgos, los datos que captura esta variante un día cualquiera. Se estima que este troyano puede tener activas decenas de variantes, a su vez existe un número indeterminado de troyanos diferentes especializados en el robo de credenciales.
La calidad de los datos capturados por servicio web puede variar. Así hay entidades financieras que han incluido ciertos mecanismos adicionales en la autenticación y dificultan la utilidad de los datos capturados, mientra que hay otras que son totalmente transparentes para los estafadores. Lo que si está claro es que el resto de servicios por Internet que requieren autenticación son más vulnerables que las entidades financieras contra este tipo de ataques. Conforme las entidades vayan reforzando aun más sus sistemas de autenticación aparecerán nuevas técnicas de ataque para ellas, pero también es previsible que parte del fraude actual migre hacia el resto de servicios más débiles que actualmente no están sufriendo la explotación de sus datos capturados.
De momento lo único en común en todos los troyanos tipo "banker" analizados es que están diseñados para sistemas Windows. No conozco la existencia de un troyano bancario para sistemas Linux o MacOS (los usuarios de estos sistemas si son, al igual que los usuarios de Windows, potenciales víctimas de phishing tradicional o pharming). Se trata de un dato objetivo, no pretendo echar leña al cansino debate Windows vs. Linux/MacOS, entra dentro de la "lógica del negocio" que se dirijan a usuarios de Windows al tener la mayor cuota de mercado.
