Troyanos bancarios como servicio: robo fácil en Brasil

Anuncios

Es habitual entre los cibercriminales brasileños anunciar sus servicios en Internet, y Ric no es diferente. Utiliza una cuenta de YouTube para mostrar sus productos, como puede verse a continuación. La descripción del canal se traduciría como “Troyano bancario en alquiler o código fuente a la venta, con acceso a más de 9 bancos, versión 2016”.

En su canal, Ric ha colgado tres vídeos mostrando diferentes aspectos de este troyano bancario y ha acumulado más de 1.000 visualizaciones. En la descripción de cada uno de los vídeos contiene un link a una página con métodos de pago. Ric también publica su nombre de usuario en Skype para que los clientes interesados puedan negociar con él. Trend Micro considera que trabaja por su cuenta y no forma parte de ningún grupo cibercriminal.

Ric también proporciona una lista de actualizaciones en el troyano para que los clientes puedan estar al tanto de cualquier cambio o mejora en el malware. (Trend Micro detectó este particular troyano en BKDR_MANGIT.SM).

Además, proporciona una lista con todos los bancos con los que “trabaja”:

Los mayores bancos de Brasil están incluidos en esta lista, así como la plataforma de pago online PayPal y Mercado Livre, una importante página de subasta local. Otras webs como las de algunos ISP y proveedores de webmail también se encuentran en la lista.

Todo el paquete se vende por 2.000 reales (algo menos de 600 dólares), válido por un período de 10 días. Se trata de un precio relativamente caro para el mercado negro brasileño, pero el paquete incluye:

· Un panel de control para dirigir/operar las máquinas afectadas

· El propio troyano bancario

· Un loader/dropper/infector (archivos para ejecutar, propagar e infectar servicios)

· Un programa de actualización automática para las máquinas afectadas

· Toda la infraestructura necesaria para realizar con éxito los ataques

Para los usuarios que deseen tener un total control sobre sus ataques y dispongan de su propia infraestructura, el código fuente se encuentra disponible por 30.000 reales, aproximadamente unos 8.800 dólares.

Cómo funciona el ataque

Si un aspirante a cibercriminal compra este "servicio", recibe un enlace al portal de administración con credenciales válidas durante el período de alquiler de la compra. Necesitará establecer un servicio de DNS dinámico para que sus víctimas se dirijan a la infraestructura proporcionada. Además, él también será el responsable de que los usuarios visiten la URL maliciosa. Para ello, el phishing sigue siendo el método preferido.

Actualmente, los bancos brasileños protegen muchas cuentas con algún tipo de autenticación de dos factores. Los códigos obtenidos a través de mensajes SMS y las apps de autentificación son las dos formas más populares. Para conseguir saltarse esta protección, Ric no ataca el protocolo de autenticación en sí, ya que se salta el acceso remoto de esta forma:

1. Una vez que el troyano se instala en la máquina de la víctima, el atacante tiene el control total sobre él.

2. Cuando la víctima accede a la página web del banco, el atacante recibe una alerta (esta alerta, incluso se puede enviar a través de SMS).

3. El atacante entonces comienza a ver la pantalla de la víctima y solo tiene que esperar para que ésta acceda a su cuenta bancaria.

4. Después de eso, se bloquea la pantalla de la víctima. El mensaje que se muestra está diseñado para hacerle pensar que la página web del banco le está pidiendo que espere.

5. El atacante toma el control de la máquina de la víctima y se inicia la transferencia de dinero o el pago de facturas.

6. Cuando la página web del banco le pide al operador los códigos de autentificación, el operador desbloquea la pantalla de la víctima y hace que aparezca una ventana en la que se solicita una identificación de señal falsa, haciéndole creer que tiene que introducir las claves para continuar.

7. Una vez dada la autorización, el atacante puede completar la transacción maliciosa.

Puede haber algunas diferencias entre los distintos bancos, pero la esencia del ataque no cambia. Los actuales troyanos bancarios brasileños se han convertido, no tanto en ladrones de datos, sino en herramientas de administración remota destinadas a usos malintencionados.

En este pantallazo, Ric está controlando el ordenador de una víctima y puede pedirle introducir sus claves, fecha de nacimiento, códigos de verificación, número de teléfono, móvil o utilizar pop-ups falsos del banco. Es una aplicación con todas las funciones y se comporta como lo haría una "herramienta" creada por profesionales.

La capacidad para operar y realizar transacciones desde la máquina de la víctima de forma remota hace que el fraude sea más difícil de detectar. Sin un examen en profundidad del sistema del usuario, parecerá que las operaciones fueron hechas desde el PC del usuario (y por tanto, por el cliente real). Esto hace que sea necesario recurrir a otras técnicas para poder detectar el delito.

¿Quién es Ric?

A día de hoy, no se sabe mucho sobre Ric, la persona que creó esta amenaza. Lo que Trend Micro sí sabe es que su “trabajo” es de extraordinaria calidad. Todo está codificado desde cero y a veces utiliza packers para proteger sus archivos, es decir, un programa que permite camuflar partes del código, modificarlo, etc. Algunas muestras también han sido firmadas con certificados auto-asignados para tratar de eludir el software de seguridad.

Ric tiene al menos otros tres apodos y probablemente se encuentra en la región norte de Brasil. Esta parte del país es conocida por ser un semillero para la actividad cibercriminal. Ya el año pasado, Trend Micro estudió y desarrolló diversos materiales sobre un joven cibercriminal de esta misma zona del país apodado como "Lordfenix”.

En el pasado, miembros de distintas bandas de ciberdelincuentes han sido detenidos en la región.

Indicadores de compromiso

Los siguientes hashes de ficheros están relacionados con este ataque:

0544ddf37ba1fa1cd1406e3230b71665f4d7f0e4
0a07ffa9214300a2b344012c891d21eca3fe518b
1248a4e8deba0969b157b04fd092e74e19819244
148959187df82a064d5117cad1390c123bd631fd
1bd6afddb00c2c3ebcd6f7804e2190b43c493989
1ce922aae75bf64012cab8d450f0d9885b159436
2021d0cd76069b0aa95cf9598720c9e1d65fe91f
2416b15f97528dd8186ac755e08c4f7668c02dad
245be19ca07d337b9fbe47674d25fb51459e3d44
259e299670e8a1e7d2f46c5782045b3153e5d6a9
2a2593cf050f30ae8ed4b9dd1807ca6f521b6d6a
2a7cc963e16abafa89ac8d56cc09668095a5a73a
30f06f3a9781cb50ae66ca1aa12c0503bbf08fad
34f3406a7441c3c7b21ffa0877e068e609a84050
3b7ad12650d9fd3db96781d5ba1267b70173ba6f
4108227957af840bae040e19473eb4d8b44b96d0
44bfd351bb56168433176914dfbd802c7d5d0d62
463720e81a715502f358f130f19aefcba197f61e
494c70aa394c9ac2357ffd24015fdf6520fc099e
4977d5ee347b165754ff7aeed1d7558c57470e47
54d5c67a0ec3369470c5ef3e349a8388ec16d129
5638de1f210601fbaad485a2697e025c74d3c115
591ff4b508dd2a95cb7902b8ee053faedc499cde
5e486833c60b71e06875413bc65e5e04294a477f
5f6d52c6e522b85e42795aa92080571013789edc
63f7cb0269c6025bedcbf5d504b017a2a6040922
63f7cb0269c6025bedcbf5d504b017a2a6040922
6f5ec43f961aed5ca1636a3076d20c194ac224a6
6fe8e9bc672075d67b7fcca8d91cf2965ff8faad
712f9abcda812bce969aabf737c2941e61a8c721
766e61c2fa635889d37b7102df962898493b51ad
79d263d20f90510fbac226fd74ad62e1a1c8d5d9
7b375374634c14ea44096b6867c5efe422792a18
7c2d0da47c6e25bd71df95b92af623bb3f9fdffb
7d010b949297d5c9c2a48ee576516ddae2d4cdcb
8463a6b1c20d21d402880901e2d8835fbca4684b
86f8832e4feec308d9502a68d387fccc781a07e1
884486e940e83da215d891d11d28e30edf63ac4e
88a2f63ae6cd0d0e78d0da8554436fd4e62fad14
8ea8fce842c9e793a8c19ffba17b86c89b15ac48
9bf2e20ccc8ad7e609b6c69cc63adaabd2b9a035
9c9934009a8087733e7c31c53af034c82ea534cb
a9a266c5b71c20f5a1cde9227030dc94622e7c5e
af350a24879f47b6b65abb9e3cda5b1545256979
b024a8770e3e76c61149fcfbb151dcf824f8268e
b14865b3f7c4ab15661ec06084a6bc90ae0ef92a
b15051e1287ac53c93e388aae52e7986dbd7d3c6
b1eab55c914c0883490fbc97f084c5798faa00a6
c286dfc1b19bb5d758ce84d062dbd838b83c1912
c8f90cbabbdc79f406505cfa7822c1b6ab668bed
d170fbbad42d66f17ae29d88c3ef03241f936310
d3415207af815b94880b3ec9397159009722595f
d7a7345f91c2ec5950844db3a30b19f647bd534e
d9aecea5197780c88c642f0b864391f5e5f3493a
e0e0c1ec46cc5b740e73cffb4b3e6491bc049852
e16fa5a4802915b9975e7883ccbb6de105f3919f
e1bfec0463f02b46e317c28b4f9f3cecd2612481
e22a3464a0036d66ebe50b16cfe30335167c2a43
e2a1ea56b151147b58451b8b5799d1c268975d3d
e380816231cff0967ff77c55bfadf60d76b4259d
e6200a0020f164798d41a068734a20befa7effc1
e65cb02eb39f64681eeed1cb7865ac66b6fd37c3
ec2493b621a960900f8fcc749eb8ab7bacd70f7b
f5728c4d3f94e6fc9399f243beaa795a9f728224
f68cfd93bee778249d95cc67dc853ad22d149d67
f849382d3bdb6b0d945cd29a3c85e52863c0a0d9
f8e8dd3d5f18e4414db85caa467492c064af8276
Para más información consulte las siguientes websites y URLs:

hxxp://www.foschiattisrl.it/libraries/phputf8/utils/JK2007.exe
hxxp://exceedcosmeticos.com.br/appword.exe

Trend Micro Incorporated, líder global en soluciones de ciberseguridad, vela por hacer el mundo más seguro para el intercambio de información digital. Nuestras innovadoras soluciones para usuarios finales, empresas y gobiernos proporcionan seguridad en capas para centros de datos, entornos cloud, redes y endpoints. Todos nuestros productos se integran y trabajan juntos para compartir inteligencia de amenazas y ofrecer defensa contra las amenazas conectada con visibilidad y control centralizado, permitiendo una mejor y más rápida protección.

Con más de 5.000 empleados en más de 50 países y la más avanzada inteligencia global de amenazas, Trend Micro permite a las organizaciones proteger su migración al cloud.

· Para más información, visite www.trendmicro.com o www.trendmicro.es.

· Los usuarios pueden encontrar más información sobre las últimas amenazas en: http://blog.trendmicro.es/