Troyanos bancarios como servicio: robo fácil en Brasil
Esta amenaza en particular llamó la atención del equipo de investigación de Trend Micro, debido a su anuncio, que incluía vídeos de demostración en YouTube. Su creador, "Ric", alquila los servicios de este particular malware por unos 600 dólares durante 10 días. El servicio incluye una consola integral, altamente capacitada y bien diseñada, así como las habilidades desarrolladas para saltarse todos los códigos de autenticación que utilizan los bancos en Brasil.
Anuncios
Es habitual entre los cibercriminales brasileños anunciar sus servicios en Internet, y Ric no es diferente. Utiliza una cuenta de YouTube para mostrar sus productos, como puede verse a continuación.
La descripción del canal se traduciría como “Troyano bancario en alquiler o código fuente a la venta, con acceso a más de 9 bancos, versión 2016”.
En su canal, Ric ha colgado tres vídeos mostrando diferentes aspectos de este troyano bancario y ha acumulado más de 1.000 visualizaciones. En la descripción de cada uno de los vídeos contiene un link a una página con métodos de pago. Ric también publica su nombre de usuario en Skype para que los clientes interesados puedan negociar con él. Trend Micro considera que trabaja por su cuenta y no forma parte de ningún grupo cibercriminal.
Ric también proporciona una lista de actualizaciones en el troyano para que los clientes puedan estar al tanto de cualquier cambio o mejora en el malware. (Trend Micro detectó este particular troyano en BKDR_MANGIT.SM).
Además, proporciona una lista con todos los bancos con los que “trabaja”:
Los mayores bancos de Brasil están incluidos en esta lista, así como la plataforma de pago online PayPal y Mercado Livre, una importante página de subasta local. Otras webs como las de algunos ISP y proveedores de webmail también se encuentran en la lista.
Todo el paquete se vende por 2.000 reales (algo menos de 600 dólares), válido por un período de 10 días. Se trata de un precio relativamente caro para el mercado negro brasileño, pero el paquete incluye:
- Un panel de control para dirigir/operar las máquinas afectada
- El propio troyano bancario
- Un loader/dropper/infector (archivos para ejecutar, propagar e infectar servicios)
- Un programa de actualización automática para las máquinas afectadas
- Toda la infraestructura necesaria para realizar con éxito los ataques
Para los usuarios que deseen tener un total control sobre sus ataques y dispongan de su propia infraestructura, el código fuente se encuentra disponible por 30.000 reales, aproximadamente unos 8.800 dólares.
Cómo funciona el ataque
Si un aspirante a cibercriminal compra este "servicio", recibe un enlace al portal de administración con credenciales válidas durante el período de alquiler de la compra. Necesitará establecer un servicio de DNS dinámico para que sus víctimas se dirijan a la infraestructura proporcionada. Además, él también será el responsable de que los usuarios visiten la URL maliciosa. Para ello, el phishing sigue siendo el método preferido.
Actualmente, los bancos brasileños protegen muchas cuentas con algún tipo de autenticación de dos factores. Los códigos obtenidos a través de mensajes SMS y las apps de autentificación son las dos formas más populares. Para conseguir saltarse esta protección, Ric no ataca el protocolo de autenticación en sí, ya que se salta el acceso remoto de esta forma:
- Una vez que el troyano se instala en la máquina de la víctima, el atacante tiene el control total sobre él
- Cuando la víctima accede a la página web del banco, el atacante recibe una alerta (esta alerta, incluso se puede enviar a través de SMS)
- El atacante entonces comienza a ver la pantalla de la víctima y solo tiene que esperar para que ésta acceda a su cuenta bancaria
- Después de eso, se bloquea la pantalla de la víctima. El mensaje que se muestra está diseñado para hacerle pensar que la página web del banco le está pidiendo que espere.
- El atacante toma el control de la máquina de la víctima y se inicia la transferencia de dinero o el pago de facturas.
- Cuando la página web del banco le pide al operador los códigos de autentificación, el operador desbloquea la pantalla de la víctima y hace que aparezca una ventana en la que se solicita una identificación de señal falsa, haciéndole creer que tiene que introducir las claves para continuar.
- Una vez dada la autorización, el atacante puede completar la transacción maliciosa.
Puede haber algunas diferencias entre los distintos bancos, pero la esencia del ataque no cambia. Los actuales troyanos bancarios brasileños se han convertido, no tanto en ladrones de datos, sino en herramientas de administración remota destinadas a usos malintencionados.
A continuación se incluye una pantalla del panel de control:
En este pantallazo, Ric está controlando el ordenador de una víctima y puede pedirle introducir sus claves, fecha de nacimiento, códigos de verificación, número de teléfono, móvil o utilizar pop-ups falsos del banco. Es una aplicación con todas las funciones y se comporta como lo haría una "herramienta" creada por profesionales.
La capacidad para operar y realizar transacciones desde la máquina de la víctima de forma remota hace que el fraude sea más difícil de detectar. Sin un examen en profundidad del sistema del usuario, parecerá que las operaciones fueron hechas desde el PC del usuario (y por tanto, por el cliente real). Esto hace que sea necesario recurrir a otras técnicas para poder detectar el delito.
¿Quién es Ric?
A día de hoy, no se sabe mucho sobre Ric, la persona que creó esta amenaza. Lo que Trend Micro sí sabe es que su “trabajo” es de extraordinaria calidad. Todo está codificado desde cero y a veces utiliza packers para proteger sus archivos, es decir, un programa que permite camuflar partes del código, modificarlo, etc. Algunas muestras también han sido firmadas con certificados auto-asignados para tratar de eludir el software de seguridad.
Ric tiene al menos otros tres apodos y probablemente se encuentra en la región norte de Brasil. Esta parte del país es conocida por ser un semillero para la actividad cibercriminal. Ya el año pasado, Trend Micro estudió y desarrolló diversos materiales sobre un joven cibercriminal de esta misma zona del país apodado como "Lordfenix”.
En el pasado, miembros de distintas bandas de ciberdelincuentes han sido detenidos en la región.
Indicadores de compromiso
Los siguientes hashes de ficheros están relacionados con este ataque:
- 0544ddf37ba1fa1cd1406e3230b71665f4d7f0e4
- 0a07ffa9214300a2b344012c891d21eca3fe518b
- 1248a4e8deba0969b157b04fd092e74e19819244
- 148959187df82a064d5117cad1390c123bd631fd
- 1bd6afddb00c2c3ebcd6f7804e2190b43c493989
- 1ce922aae75bf64012cab8d450f0d9885b159436
- 2021d0cd76069b0aa95cf9598720c9e1d65fe91f
- 2416b15f97528dd8186ac755e08c4f7668c02dad
- 245be19ca07d337b9fbe47674d25fb51459e3d44
- 259e299670e8a1e7d2f46c5782045b3153e5d6a9
- 2a2593cf050f30ae8ed4b9dd1807ca6f521b6d6a
- 2a7cc963e16abafa89ac8d56cc09668095a5a73a
- 30f06f3a9781cb50ae66ca1aa12c0503bbf08fad
- 34f3406a7441c3c7b21ffa0877e068e609a84050
- 3b7ad12650d9fd3db96781d5ba1267b70173ba6f
- 4108227957af840bae040e19473eb4d8b44b96d0
- 44bfd351bb56168433176914dfbd802c7d5d0d62
- 463720e81a715502f358f130f19aefcba197f61e
- 494c70aa394c9ac2357ffd24015fdf6520fc099e
- 4977d5ee347b165754ff7aeed1d7558c57470e47
- 54d5c67a0ec3369470c5ef3e349a8388ec16d129
- 5638de1f210601fbaad485a2697e025c74d3c115
- 591ff4b508dd2a95cb7902b8ee053faedc499cde
- 5e486833c60b71e06875413bc65e5e04294a477f
- 5f6d52c6e522b85e42795aa92080571013789edc
- 63f7cb0269c6025bedcbf5d504b017a2a6040922
- 63f7cb0269c6025bedcbf5d504b017a2a6040922
- 6f5ec43f961aed5ca1636a3076d20c194ac224a6
- 6fe8e9bc672075d67b7fcca8d91cf2965ff8faad
- 712f9abcda812bce969aabf737c2941e61a8c721
- 766e61c2fa635889d37b7102df962898493b51ad
- 79d263d20f90510fbac226fd74ad62e1a1c8d5d9
- 7b375374634c14ea44096b6867c5efe422792a18
- 7c2d0da47c6e25bd71df95b92af623bb3f9fdffb
- 7d010b949297d5c9c2a48ee576516ddae2d4cdcb
- 8463a6b1c20d21d402880901e2d8835fbca4684b
- 86f8832e4feec308d9502a68d387fccc781a07e1
- 884486e940e83da215d891d11d28e30edf63ac4e
- 88a2f63ae6cd0d0e78d0da8554436fd4e62fad14
- 8ea8fce842c9e793a8c19ffba17b86c89b15ac48
- 9bf2e20ccc8ad7e609b6c69cc63adaabd2b9a035
- 9c9934009a8087733e7c31c53af034c82ea534cb
- a9a266c5b71c20f5a1cde9227030dc94622e7c5e
- af350a24879f47b6b65abb9e3cda5b1545256979
- b024a8770e3e76c61149fcfbb151dcf824f8268e
- b14865b3f7c4ab15661ec06084a6bc90ae0ef92a
- b15051e1287ac53c93e388aae52e7986dbd7d3c6
- b1eab55c914c0883490fbc97f084c5798faa00a6
- c286dfc1b19bb5d758ce84d062dbd838b83c1912
- c8f90cbabbdc79f406505cfa7822c1b6ab668bed
- d170fbbad42d66f17ae29d88c3ef03241f936310
- d3415207af815b94880b3ec9397159009722595f
- d7a7345f91c2ec5950844db3a30b19f647bd534e
- d9aecea5197780c88c642f0b864391f5e5f3493a
- e0e0c1ec46cc5b740e73cffb4b3e6491bc049852
- e16fa5a4802915b9975e7883ccbb6de105f3919f
- e1bfec0463f02b46e317c28b4f9f3cecd2612481
- e22a3464a0036d66ebe50b16cfe30335167c2a43
- e2a1ea56b151147b58451b8b5799d1c268975d3d
- e380816231cff0967ff77c55bfadf60d76b4259d
- e6200a0020f164798d41a068734a20befa7effc1
- e65cb02eb39f64681eeed1cb7865ac66b6fd37c3
- ec2493b621a960900f8fcc749eb8ab7bacd70f7b
- f5728c4d3f94e6fc9399f243beaa795a9f728224
- f68cfd93bee778249d95cc67dc853ad22d149d67
- f849382d3bdb6b0d945cd29a3c85e52863c0a0d9
- f8e8dd3d5f18e4414db85caa467492c064af8276
Para más información consulte las siguientes websites y URLs:
- hxxp://www.foschiattisrl.it/libraries/phputf8/utils/JK2007.exe
- hxxp://exceedcosmeticos.com.br/appword.exe