Amenazas + Usuarios = Colaboración

A finales de la pasada semana llego hasta nuestro laboratorio una muestra de un troyano dirigido a los usuarios de entidades bancarias de diversos países, entre los que destacan Alemania, España, EEUU y Reino Unido. El espécimen está especializado en capturar las credenciales de acceso a la banca Online, lo que permite a los atacantes suplantar la identidad de los usuarios infectados y realizar transferencias desde sus cuentas.

El bicho nos llego desde un usuario que creía estar infectado porque al insertar un acento en cualquier texto en vez de uno ponía dos automaticamente ´ ´, la cual cosa le puso en alerta , se puso en contacto con nuestro departamento técnico y aquí se empezó a gestar el Spy.Agent.NFS, El usuario nos remitió unos programas que había descargado de una web aparentemente de confianza , al realizar un primer análisis pudimos detectar que dicho “programa” llevaba una sorpresa oculta. Enviamos la muestra a Virus Total donde un total de 32 motores antivirus la analizaron y cuál fue nuestra sorpresa al ver que ningún Antivirus detectaba nada, sorpresa grande porque las Heurísticas agresivas de algunos de ellos llevan a detectar como una amenaza a la mismísima calculadora de Windows dentro de un Packer.

Lo primero fue el poner alerta al usuario para que bajo ningún concepto realizara movimientos con su banco OnLine. Después manos a la obra a ver que nos deparaba dicho troyano.

El troyano monitoriza las direcciones del navegador de los sistemas infectados, y se activa cuando detecta que el usuario se dirige a la página web de algunas entidades bancarias. Para saber cuándo debe capturar las contraseñas del usuario, el troyano descarga un archivo desde un servidor de Internet donde mantiene los dominios y URLs de los bancos a atacar.

El listado de dominios al que se dirige es el siguiente:

53.com
bancaja.*
bancajaproximaempresas.com
bancopopular.es
banesto.es
banesto.es
banking.*.de
bankofamerica.com
bankofamerica.com
barclays.co.uk
cahoot.com
cbonline.co.uk
chase.com
citibank.com
citibank.de
citizensbankonline.com
comdirect.de
dresdner-privat.de
e-gold.com
ebank.hsbc.co.uk
fiducia.de
gruposantander.es
halifax-online.co.uk
lloydstsb.co.uk
lloydstsb.com
nationalcity.com
norisbank.de
openbank.es
paypal.com
suntrust.com
tdcanadatrust.com
unicaja.es
usbank.com
vr-networld-ebanking.de
wachovia.com
wamu.com
wellsfargo.com
ybonline.co.uk

Dependiendo de la entidad el troyano llega incluso a modificar en tiempo real la página web del banco, presentando campos adicionales en los formularios de autenticación. Es decir, en vez de solicitar únicamente usuario y clave de acceso, el troyano puede hacer aparecer en la página web de la entidad un tercer campo solicitando la clave necesaria para confirmar las operaciones. De esta forma los atacantes consiguen todos los datos necesarios para suplantar la identidad de la víctima y realizar transferencias desde sus cuentas.

Los troyanos especializados en la captura de credenciales bancarias no son una novedad, sino todo lo contrario, a día de hoy destacan como una de las familias más prolíficas entre el malware orientado al fraude. Es por ello que la industria antivirus está en constante evolución, incorporando técnicas de detección proactivas para prevenir su amenaza. Sin embargo, este nuevo troyano se ha caracterizado por no ser detectado por ninguno de los más de 30 antivirus probados en el momento de su distribución, lo que lo convertía en prácticamente invisible.

Este caso pone de manifiesto que la colaboración de los usuarios se presenta vital para poder identificar y prevenir de forma temprana nuevas formas de malware que puedan aparecer. Por lo que desde aquí agradecemos la colaboración de los usuarios y animamos a que continúen con su actitud preventiva, ayudándonos a mejorar , si Ud cree estar en el mismo caso, envíenos la supuesta muestra dentro de un archivo comprimido con contraseña a virus@nod32-es.como bien desde nuestra Enclopediavirus.

R.R

Vectores de ataque: Memorias USB