Martes, 02 Julio 2013 20:17

Cómo Funcionan Los Troyanos Bancarios

Este tipo de troyanos siguen suponiendo una de las principales amenazas para los internautas. Todo ello a pesar del endurecimiento de las medidas de seguridad llevado a cabo por las entidades en sus servicios web.

Esto se debe a que los troyanos se van mejorando a la par, haciéndose más y más sofisticados.

Una de las mayores preocupaciones de cualquier usuario es ceder su información a terceros, como contraseñas, más aún si eso revierte en su cartera. Por eso los troyanos bancarios son uno de los tipos de malware más peligrosos,por sus consecuencias. Son, junto con la de los falsos antivirus, las categorías más rentables para los delincuentes.

La ingeniería social toma fuerza como vía de transmisión, con esos mensajes de terceros que contienen enlaces a webs desconocidas. A veces ni siquiera se requiere intervención por parte del usuario, ya que se aprovechan de kits de exploit para entrar en su ordenador.

Una vez en nuestro equipo, el principal objetivo del troyano será obtener nuestros datos bancarios. Normalmente, estos programas se quedan residentes en memoria e inactivos hasta que el usuario accede al servicio de banca (de esta forma no se delatan innecesariamente) Los troyanos poseen una lista predefinida de entidades a las que atacar.

Los delincuentes obtienen este tipo de herramientas casi sin esfuerzo, existiendo un gran mercado negro en la red para compra-venta de este tipo de programas o kits. Programas que pueden personalizarse aún más.

Vamos a analizar sus principales familias, cuales son las vías de entrada habituales, como se comportan después, etc. Por supuesto, una serie de recomendaciones para no convertirnos en su próxima víctima.

PRINCIPALES FAMILIAS

1) Troyanos bancarios brasileños (Banbra)

Se usan principalmente para robar passwords de bancos brasileños y portugueses, aunque han dado pie a algunas versiones españolas. Suelen enviar la información obtenida a través de correo electrónico o por FTP.

Las versiones brasileñas están programadas en Delphi, mientras las españolas emplean Visual Basic. Estos troyanos se construyen mediante kits generadores, son construídos desde cero.

2) Troyanos bancarios rusos 1.0 (Cimuz, Goldun…)

Estas familias dan lugar a un montón de variantes, porque está creadas mediante herramientas comunes de creación. Sin embargo, las amenazas creadas con estos kits presentan muy pocas diferencias entre ellas, debido al poco desarrollo que han obtenido estos kits en los últimos años.

Por eso, al no haber evolucionado con el tiempo, no incorporan nuevas funciones y su detección es relativamente sencilla para un antivirus.

3) Troyanos bancarios rusos 2.0 (Sinowal, Torpig, Bankolimb)

Son las amenazas de este tipo más activas actualmente, por ello más peligrosas. Sufren cambios y actualizaciones constantes, por lo que su detección es costosa, además de que incorporan nuevas herramientas de fraude en cada nueva versión (nuevas entidades, vías, etc)

Su forma de funcionamiento es común. Un fichero de configuración contiene todas las entidades a monitorizar, que bien puede incluírse en el propio troyano, o estar alojado en un servidor controlado por el atacante. Esto implica que no deben ser modificados para atacar un nuevo banco, sino recibir la orden.

Además, utilizan nuevas formas de polimorfismo y ocultamiento, que los hacen difíciles de detectar y eliminar.

Como se puede observar en la siguiente gráfica, las familias más activas de troyanos bancarios son Sinowal, que representa un 46% del total de las familias diseñadas para robar datos bancarios, seguida de Banker con un 25% y Banbra con un 11%. El 8%

restante corresponde a las demás familias de troyanos bancarios:

VÍAS DE INFECCIÓN

La ingeniería social continúa como principal foco de expansión para este tipo de amenazas. Para conseguirlo, son distribuídos mediante mensajes de SPAM enviados a cualquier tipo de plataforma, que podemos dividir en 2 clases:

1. Spam con documento adjunto: Normalmente se trata de documentos comprimidos en zip o rar, con un archivo ejecutable .exe. Pero complican la cosa más para que el usuario no sospeche:

Icono inofensivo: un icono relacionado con el tipo de archivo que pretende ser. Por ejemplo

Doble extensión: Normalmente, el archivo ejecutable tiene doble extensión, en primer lugar tiene la extensión del archivo por el que se hace pasar, por ejemplo en este caso que se trata de una imagen, la extensión sería jpg y después la extensión exe. Normalmente hay espacios libre entre la primera extensión y la segunda, para que el usuario no desconfíe.

Aunque no es imprescindible añadir una extensión inofensiva. SI el documento contiene un icono que parece inofensivo, puede pasar desapercibido para el usuario.

Habitualmente dicho archivo será un donwloader que el hacker empleará para descargar el troyano al sistema.

2. Spam con enlaces a una página web.

Mensajes de correo electrónico que llevan un enlace a un sitio web. Es habitual el uso de videos como cebo. Dicho video solicitará al usuario la instalación de un plugin, codec o similar para poder visualizarlo.

Una dev en el sistema, el mencionado codec o actualización, el usuario puede ser redirigido a un sitio web en el que visualizará un video relacionado, para no levantar sospechas.

Un nuevo tipo de ataque ha empezado a ser usado recientemente: la infección de sitios web legales. Para ello se introduce en sus servidores una llamada hacia un servidor malicioso que se encargará de recopilar información del sistema, como la versión del sistema operativo, navegador o actualizaciones instaladas. De esta forma el delincuente sabrá si existe alguna brecha de seguridad aprovechable.

COMO ROBAN LA INFORMACIÓN

Existen varias formas para robar las contraseñas al usuario, desde la captura de datos mediante un Keylogger hasta técnicas más elaboradas como la captura de datos "al vuelo".

El grado de éxito de un keylogger depende de cómo esté configurado y sobre todo de su capacidad de filtrado de información. Un keylogger que se limita a registrar todas las pulsaciones de teclado introducidas por el usuario generaría una gran cantidad de datos inservibles para los ciberdelincuentes.

Por eso es importante que el delincuente sepa filtrar mediante el programa aquella información que le resulte interesante, es decir, la información bancaria del individuo.

Siguiendo esta premisa, el hacker filtrará la información relevante en funcion de parámetros tales como el tipo de páginas que el usuario visite. Se monitorizará su navegación, de forma que cuando el usuario acceda a una página web de un banco, el keylogger empezará a registrar las pulsaciones de teclado.

Para centrarse en ciertas páginas web, los troyanos bancarios cuentan o descargan una lista con diversas cadenas, que pueden ser partes de una dirección web o cadenas de texto de un cuadro de diálogo, o del título de ventana relacionadas con entidades bancarias. El troyano monitoriza la actividad del sistema y se activa cuando detecta

alguna de las cadenas de filtro.

Para recabar la información del usuario mediante su navegación se siguen diversas técnicas:

Registrarse como BHO (Browser Helper Object), que se trata de una funcionalidad de Internet Explorer que se ejecuta cuando se accede al navegador.

Búsqueda de título de ventanas. Para ello utiliza una función de la API denominada FindWindow, que le permite localizar las ventanas que tengan un determinado título. Así un ciberdelincuente podría realizar búsquedas de títulos de ventanas activas que contengan nombre de entidades bancarias.

Búsqueda de direcciones web en el navegador. El troyano cuenta con un listado de direcciones web pertenecientes a diferentes entidades bancarias. Cuando el usuario teclea en su navegador una dirección web que coincida con alguna de las del listado, el troyano se activa.

Una vez comprobado que el destino actual del usuario es una página de banca online, de procede a la captura de datos mediante diferentes métodos:

Captura de formularios: cuando el troyano detecta un formulario en alguna página web registra la información que el usuario introduzca en los formularios.

Keylogging: registro de las pulsaciones de teclado introducidas por el usuario en las páginas web.

Sitios web falsos: el troyano crea una página web falsa que imita al original. Cuando el usuario va a acceder a la página legítima de la entidad bancaria, el troyano ejecuta una aplicación que muestra la página web falsa en vez de la original.

Formularios falsos: esta técnica consiste que en vez de crear una página web falsa, lo que hace es superponer una ventana que contiene un formulario sobre el formulario real, para que el usuario rellene el formulario falso.

Campos extras en formularios: inyección de código HTML en los formularios de las páginas web para solicitar más información.

Pharming: Esta técnica consiste en modificar el sistema de resolución de nombres de dominio (DNS) para conducir al usuario a una página web falsa.

Ataques "man-in-the-middle": los ciberdelincuentes hacen de intermediarios pudiendo leer, insertar y modificar mensajes entre el cliente y su banco sin que ninguna de las partes sea consciente de que la conexión entre ellas está comprometida.

LA SOFISTICACIÓN COMO ARMA

Los bancos han ido reaccionando ante este tipo de vulnerabilidades, endureciendo la seguridad de sus sitios web. Esto ha conllevado una mayor sofisticación de los troyanos para poder seguir el ritmo.

Medidas como la implantación de los teclados virtuales -tanto en bancos como en algunas soluciones de seguridad antivirus- han supuesto que los troyanos tradicionales no podían valerse de un keylogger para capturar las pulsaciones de teclado.

¿Cómo han solucionado esto los creadores de malware? Dotando al troyano en cuestión - en este caso Trk/BanBra- de nuevas características. Este troyano es capaz de registrar movimientos del ratón o incluso tomar capturas de pantalla (y remitirlas al delincuente) o de vídeo.

Algunos ejemplares como los pertenecientes a la familia BankoLimb tienen un archivo con una lista de URLs de bancos objetivo. Cuando el usuario infectado con un BankoLimb accede a alguna página web cuya dirección coincida con la de su lista, el troyano se activará e inyectará código html extra en la página del banco.

En este tipo de "guerra" no hay ganadores, dado que siempre hay una respuesta de la otra parte. Por eso, como siempre, aconsejamos estar bien informadoss y mantener unas costumbres de navegación sanas.

Fuente: www.articuloz.com