28
enero
2008

Troyanos bancarios... haciendo callo

uno más...
[Malware] 
Emiliano ha publicado una interesante noticia-tutorial sobre ¿Port Knocking... ofuscación o capa de seguridad?, con un enfoque de tutorial que particularmente creo que se echaba de menos en el boletín una-al-día.


El caso es que me comenta que entre el feedback recibido alguien le "recriminaba" que no hablara en el boletín de un troyano bancario que por lo visto hoy ha salido referenciado en Internet, incluso dicen que han comentado algo en Antena3 noticias.


En otras ocasiones, cuando hablamos de troyanos bancarios (deformación profesional, recibimos diariamente entre cientos y miles de troyanos bancarios nuevos en VirusTotal), algunos se quejan de que damos demasiada publicidad o importancia a este tipo de contenidos. Nunca llueve a gusto de todos.


La realidad de lo que vemos día a día, al igual que cualquiera que se dedique profesionalmente al tema, es bastante más cruda e importante que lo puramente anecdótico de un troyano concreto. Por ejemplo, el mismo Emiliano me comentaba que entre los análisis de hoy tenía varios ejemplos más jugosos, donde por ejemplo podíamos acceder al panel de control de la botnet (control sobre los miles de sistemas infectados, estadísticas por países, entidades bancarias afectadas, acceso a los datos capturados, etc).


Ejemplo:


Troyano que lleva infectado a más de 20.000 usuarios, entre ellos se cuentan 2.002 españoles:



Estadísticas por tramo horario de equipos infectados que se han conectado hoy, 28 de enero:



Entre las entidades a las que se dirige, podemos encontrar explícitamente algunas españolas:



A través del panel de control web se puede modificar online la configuración del troyano, que permite inyectar campos en determinadas páginas (por ejemplo para hacer aparecer un campo adicional solicitando la clave de operaciones), hacer capturas de pantalla, robar los certificados digitales de los equipos infectados, redirigir a páginas de phishing, mostrar pop-pups, descargar archivos, etc.


Por ejemplo, al editar uno de los "HTML injections" de BBVA, vemos como han configurado la inyección HTML en su web:



El troyano lleva más de 15 gigas capturados, donde los atacantes pueden buscar fácilmente a través de un interfaz web lo que más les interese (credenciales de determinadas URLs, bancos, etc).



Por ejemplo, buscando TAN (transaction authentication number) de usuarios de entidades alemanas:


Supongo que mostrar este tipo de ejemplos, además de lo anecdótico, sirve para concienciar del problema a los usuarios finales. La realidad sigue siendo mucho más cruda, sólo se suele publicar una minúscula parte de la punta del iceberg, por lo que entre profesionales este tipo de datos ha hecho callo, nos hemos acostumbrado. Y eso, es mala señal.

Enviado por bquintero a las 22:30 | Enlace permanente | Comentarios (6) | Trackbacks (0)
Comentarios
Re: Troyanos bancarios... haciendo callo

Sería interesante por parte de HispaSec no sólo continuar informando sobre este tipo de incidentes para concienciar a los usuarios finales... Quizás hace falta también contribuciones por parte de los profesionales de la seguridad informática que informen sobre los avances que se dan a la hora de intentar sobreponerse a estos ataques por parte de las instituciones financieras de los usuarios afectados. Un ejemplo sería si alguna de dichas instituciones decidiera utilizar teclados en pantalla o "salar" la página introduciendo código válido pero aleatorio, que se despliegue en los browsers más comunes (IE6/7, Firefox, Opera) correctamente y que funcione como un "Acid2 Test". Si "la carita" no "aparece correctamente" uno podría sospechar algo raro, por ejemplo.

Posted by: Alex Neuman at enero 29,2008 05:37
Re: Troyanos bancarios... haciendo callo

Muy interesantes el artículo.
Nunca había visto un panel de estos y la verdad es que esto te permite tener una idea del grado de "profesionalidad" de los ladrones.

Posted by: Manuel Angel Fernandez at enero 29,2008 09:26
Re: Troyanos bancarios... haciendo callo

simplemente increible el nivel de profesionalismo de estos personajes... en mi pais 47 infecciones...

acá en mi pais se comienza a implementar en febrero 2008 un sistema de "segunda clave" generada por un aparato llamado "digipass" que tiene en su poder el usuario, apretando un solo boton se genera una clave aleatoria valida... sin ingresar esta clave no se se lleva a cabo la transaccion bancaria... esa medida la considero mas segura de lo que existe hasta ahora...
en otro banco optan por una tarjeta que tambien tiene el usuario en su mano...

Ejemplo digipass: http://tinyurl.com/ys53kz
(pagina del banco abreviada con tinyurl)

Posted by: pp at enero 29,2008 15:13
Re: Troyanos bancarios... haciendo callo

Impresionante la manera en que se puede administrar remotamente el troyano, interfaces de administración de troyanos como las del Poison Ivy o Bifrost no alcanzan a ser ni medianamente igual de potente a la referenciada en este articulo;
y sí igual yo también me alarme 154 maquinas infectadas en mi país, lo mas seguro es que sean muchas....

Posted by: DeLoRi@N at febrero 01,2008 23:25
Re: Troyanos bancarios... haciendo callo

Es increíble lo mucho que evolucionan estas mafias...
Solo me surge una duda del articulo, como habéis podido acceder a este tipo de paneles de control de troyanos.
Porque supongo que no lo tendrán accesible a todo el mundo sin autenticación, para que cualquier novato pueda controlar toda su botnet o se la desmantelen las autoridades.

Posted by: Kyle at febrero 02,2008 11:47
Re: Troyanos bancarios... haciendo callo

Un tip para pp sobre el digipass supongo que es de vasco, actualmente un banco de mexico (banamex) tiene ese sistema de "token" o digipass, en donde por medio de pulsaciones te presenta aleatoriamente los tokens, en la actualidad en méxico es el banco mas atacado por phishing, pharming malware, etcetcetc, por lo que te recomiendo que cheques con tu proveedor si el OTP(one time pass) expira y en que tiempo, por que un atacante por phishing, parming etc etc puede obtener la cantidad de OTP y asi vulnerar el sistema, hay otro tipo de tokens como los de rsa que muestra OTP por tiempo osea cada minuto te muestra uno diferente y tiene un expiración de 2 min. y ya no lo podrias utilizar, ademas que para el acceso a la banca el alta de la cuenta, y la transferencia te solicita OTP por lo que necesitas 3 forzosamente para realizar una transacción, es por eso que es mas "seguro" uno por tiempo que por pulsaciones, no se te lo dejo al costo, espero te sirva, saludos.

te dejo estas referencias:
http://forum.bitdefender.com/lofiversion/index.php/t3090.html

Posted by: jett at febrero 13,2008 03:01
Trackbacks
Por favor envía los trackbacks a: http://blog.hispasec.nospam/laboratorio/267/tbZ3ping
Reemplazando "nospam" por "com"
No hay trackbacks.
Enviar un comentario