Phishing basado en troyanos

SeguridadVirus

Recientemente se ha detectado un troyano destinado al robo de credenciales bancarias.

Robos y malware

Hasta aquí nada nuevo, puesto que el malware destinado a capturar las pulsaciones de teclado o los parámetros de las páginas de autenticación llevan mucho tiempo entre nosotros. Si bien en esta ocasión el troyano sólo preparaba el sistema para un ataque a través de páginas web de phishing tradicional, lo que es una prueba más de la íntima relación que guardan ambas técnicas.

Si se realiza un análisis técnico superficial, a primera vista puede parecer un troyano como otro cualquiera, que modifica el archivo hosts del sistema para que los dominios de las entidades bancarias apunten a una IP determinada, y que monitoriza una serie de URLs de páginas de autenticación para capturar las credenciales de los usuarios.

Sin embargo esa no es la estrategia del troyano, un análisis más profundo revela que en realidad lo que hace es detectar cuando el usuario intenta conectar con unas determinadas webs, y redirigirlo hacia una página falsa que simula a la de la entidad, es decir, hacia un phishing tradicional.

Si infectamos un sistema de prueba y nos fijamos en la modificación del archivo hosts, podemos encontrar algunas irregularidades en el largo listado de direcciones que incluye (a continuación sólo una pequeña porción):

(null) onlineaccounts2.abbeynational.co.uk

(null) www3.aibgonline.co.uk

(null) www.bank.alliance-leicester.co.uk

(null) login.ibloing.com

Primero que no está realizando ninguna redirección efectiva, porque en lugar de la IP incluye (null). Pero, y lo más importante, todas las URLs son falsas, ninguna existe en realidad. En todos los casos se incluye una errata a conciencia (falta o se cambia alguna letra, etc.), aunque se intenta que la URL se parezca a la original a simple vista.

Siguiendo el análisis del troyano a nivel superficial, podemos encontrarnos con una serie de URLs en su código. De nuevo, si nos fijamos, ninguna de las URLs es funcional, todas incluyen erratas, ninguna se corresponde a los formularios de autenticación legítimos de las entidades.

Esto salta a simple vista porque todas empiezan por http://, en vez de https:// que suele ser lo usual y recomendado en el caso de los formularios legítimos. Además, como ya ocurriera con el archivo de hosts, también realizan pequeñas modificaciones en las URLs, y por tanto no tendría sentido que el troyano las monitorizara para capturar sus credenciales, que suele ser lo normal en este tipo de troyanos.

La verdadera estrategia del gusano consiste en monitorizar la URL del navegador del usuario para detectar cuando intenta dirigirse a uno de los sitios web de las entidades, y redirigirlo a una web falsa de phishing. Para ello no utiliza URLs concretas, sino que lo hace mediante palabras claves o porciones de URL.

Por ejemplo, si el usuario intenta navegar por una dirección que contiene “myonlineaccounts2.abbeynational.co.uk” o “/CentralLogonWeb/Logon”, el troyano automáticamente lo redirecciona a http://onlineaccounts2.abbeynational.co.uk/uk/ab/CentralLogonWeb/Logon

En realidad esa URL no existe, tiene una errata en el dominio, pero funcionará porque el troyano introdujo en el archivo hosts la línea “onlineaccounts2.abbeynational.co.uk” y por tanto el sistema ahora la resuelve, la reconoce.

De esta forma el usuario verá en su navegador una dirección muy parecida a la legítima, lo que dificultará que a simple vista se de cuenta de que está navegando por una página falsa.

Troyanos

Por último queda una incógnita sin resolver. Como dijimos al principio, en estos momentos el troyano introduce el valor (null) en vez de una IP en el archivo hosts. Es decir, hoy por hoy el troyano ya no se encuentra funcionalmente activo, ya que no es capaz de redirigir a los usuarios infectados a las webs falsas de phishing.

Esto es debido a que el troyano introduce la IP de forma dinámica. En el momento de infectar un sistema resuelve el dominio banks.wayser.net, e introduce en el archivo hosts la IP obtenida.

Cuando el troyano fue detectado por los laboratorios antivirus los detalles fueron compartidos con las autoridades competentes y grupos gubernamentales de respuesta ante incidentes con los que colaboran, de forma que facilitaron la desactivación del dominio. Por ejemplo, el laboratorio de Panda fue el que recientemente sacó a la luz este troyano, y regularmente notifican los datos de interés para que las autoridades pertinentes puedan llevar a cabo investigaciones, como es el caso del Grupo de Delitos Telemáticos de la Guardia Civil.

Eso explica que cuando el troyano intenta resolver el dominio, para introducir la IP en el archivo hosts, obtiene el valor (null), ya que fue desactivado hace semanas.

En el laboratorio de Hispasec estamos monitorizando, entre otros malware, una segunda versión de este troyano con las mismas entidades implicadas. En esta ocasión utiliza tres dominios diferentes en vez de uno para resolver la IP, dos de los cuales resuelven.

Aunque la IP que resuelven no contiene en estos momentos las páginas de phishing, la confirmación de que dos de los dominios aun resuelvan puede ser indicativo de que estén bajo el control de los phishers y por tanto sujetos a que en cualquier momento puedan apuntar a una nueva IP donde hospedar las páginas de phishing.

Por ejemplo, entre otras, las IPs a las que en algún momento han apuntado este troyano han sido:

141.225.152.142

194.215.189.33

204.9.190.180

209.107.25.67

216.138.184.21

64.39.14.226

69.15.98.210

70.84.252.218

80.86.191.181

El hecho de que una entidad no se vea reflejada específicamente en el código de un troyano no quiere decir que sus clientes estén a salvo, ya que son muchos los troyanos que utilizan técnicas genéricas destinados a capturar las credenciales de cualquier página de autenticación, de manera independiente a su dirección. En concreto, hay entidades que nunca han recibido ataques de phishing tradicional ni aparecen como blanco de ningún código malicioso, pero sin embargo sus clientes han sufrido robos a través de Internet derivados de la acción de los troyanos.

La monitorización de este tipo de malware por parte de las entidades para tomar medidas reactivas y preventivas es realmente complicada, debido principalmente a su diversificación y volumen. Sin ir más lejos, en VirusTotal podemos llegar a recibir en un día decenas de nuevos troyanos relacionados con el phishing y entidades bancarias. No obstante se trabaja en ello.

El servicio VirusTotal (http://www.virustotal.com) de Hispasec, en cooperación con las casas antivirus, mantiene un sistema de distribución. En estos momentos son miles de usuarios alrededor de todo el mundo los que utilizan este servicio para enviar archivos sospechosos. Cuando VirusTotal detecta un archivo infectado, y si el remitente no índica lo contrario a través de una opción de distribución, automáticamente se envía la muestra a los laboratorios antivirus que aun no lo detectan. De esta forma se intenta mitigar el impacto de virus, gusanos, troyanos, y demás fauna, entre los usuarios.

Hispasec Sistemas también mantiene un servicio antiphishing destinado a entidades bancarias, donde además de diversas medidas preventivas y reactivas contra el phishing tradicional, aprovecha su conocimientos y experiencia en el análisis de malware y cooperación con los laboratorios antivirus.

A día de hoy el phishing se ha convertido en un negocio en todos los sentidos. De manera independiente a la protección antivirus de los clientes y de los servicios antiphishing que puedan disponer las entidades, existe un área de oportunidad importante en la cooperación no comercial a diferentes niveles para luchar contra el phishing, ya que se trata de un problema global con múltiples agentes implicados a la hora de aplicar medidas reactivas y preventivas.

Leer la biografía del autor  Ocultar la biografía del autor