Análisis de malware
Evolución del malware bancario, parte 1
24 de diciembre de por Chamán Vilén
Introducción
¿Por qué los autores de malware están tan interesados en el malware bancario? ¡Simplemente porque aquí es donde está el dinero! Hoy en día, el malware bancario, concretamente los troyanos bancarios, está alcanzando nuevos y alarmantes niveles de sofisticación. Cada día, constantemente se introducen nuevos nombres y nuevas variaciones para frustrar la detección por parte del software antivirus en la PC de la víctima y robar el dinero del usuario.
Como siempre, un juego del gato y el ratón entre atacantes y chicos de seguridad:
¡Conviértete en un ingeniero inverso certificado!
Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender
Por un lado, las instituciones financieras y las empresas audiovisuales llevan años luchando contra este malware dirigido a la banca online, y los bancos han evolucionado sus medidas de seguridad para proteger las transacciones online del fraude. Pero en muchas situaciones, muchas de estas implementaciones de seguridad son ineficaces a la hora de proteger contra el troyano bancario moderno.
Por otro lado, los ciberdelincuentes motivados por recompensas financieras están utilizando estos troyanos avanzados para cometer fraudes financieros a gran escala. Estos atacantes evitan apuntar a los servidores de estas instituciones financieras, que están altamente protegidos con múltiples capas de seguridad, pero estos ciberdelincuentes atacan a los usuarios de banca en línea explotando las debilidades humanas.
Este artículo examina el avanzado estado actual del malware bancario en general. Cubriremos capturadores de formularios/http, inyecciones web y malware PoS (punto de venta) hasta fraude bancario automatizado en línea, ATS (sistema de transferencia automática) y malware ATM (cajero automático).
Ciclo de vida de la infección
Existen varios métodos para propagar malware de una computadora a otra: los autores de malware usaban principalmente dispositivos USB, archivos adjuntos de correo electrónico y aplicaciones de mensajería instantánea como MSN Messenger y redes P2P/warez como eMule, donde se pueden encontrar cracks y keygen que contienen código malicioso. También hemos visto descargas no autorizadas que contienen códigos falsos y extensiones de navegador Java Applet que conducen a malware.
En los últimos años, los propietarios de botnets necesitan infecciones masivas y han buscado una forma más valiosa de infectar a millones de víctimas, por lo que crearon algunas aplicaciones y kits de automatización para facilitar su creación y distribución: kits de explotación . Estos kits permiten a los ciberdelincuentes escalar fácilmente sus operaciones y evolucionar rápidamente al cambiante panorama de los vectores de infección.
Un kit de exploits es una aplicación web desarrollada principalmente en PHP, respaldada por una base de datos MySQL que contiene una serie de exploits, rara vez de día cero, dirigidos principalmente al navegador (Firefox, IE…), aplicaciones Java, PDF y SWF. Estos kits de exploits en su mayoría vienen con un panel de control que muestra estadísticas, configuración y un instalador, y también algunas características como listas negras, escaneo AV, etc.
Blackhole, Nuclear Pack, Sakura y Redkit son algunos de los nombres de kits de exploits más conocidos.
Cuando una de las aplicaciones mencionadas anteriormente es vulnerable, EK instala automáticamente el malware en la computadora de la víctima. Echemos un vistazo rápido al ciclo de vida de la infección:
Utilizando algunas tácticas de ataques de ingeniería social, usuarios inocentes suelen hacer clic en un enlace: de una red social (como trucos de secuestro y clickjacking), correos electrónicos de phishing con enlaces, una página web comprometida o una página web legítima que tiene algún banner publicitario malicioso (publicidad maliciosa), y luego el usuario es redirigido a los servidores del kit de explotación que muestran una página web engañosa. La redirección se puede realizar simplemente mediante una redirección del lado del servidor, una redirección basada en flash, una redirección de encabezado HTTP, un script ofuscado que genera un iframe o mediante el uso avanzado de un sistema de dirección de tráfico (TDS). Después de la redirección, llega a algún tipo de exploit que, cuando se ejecuta correctamente, genera la carga útil, que instala el malware.
La evolución del malware financiero
En, la llegada de Zeus supuso un gran avance para los estafadores. ¡De aquí proceden la mayoría de los troyanos bancarios! La capacidad del troyano para eludir la autenticación multifactor permitió a los delincuentes secuestrar una sesión completamente autenticada y luego desviar fondos de cuentas comprometidas.
Según Symantec, el número de infecciones de los troyanos financieros más comunes aumentó un 337% en los nueve primeros meses de. Esto representa casi medio millón de ordenadores infectados al mes y susceptibles de fraude. Echemos un vistazo a los malwares bancarios vistos en:
La distribución de estos malwares es a veces local y otras veces global. Por ejemplo, la botnet Shylock estuvo principalmente activa en el Reino Unido, Carberp en Rusia, Tinba en Turquía y Bebloh en Alemania.
Otro punto que también debe considerarse es que los atacantes prefirieron apuntar a bancos comerciales, cooperativas de crédito y otras instituciones financieras en países desarrollados con residentes ricos, porque su gente tiene más probabilidades de tener más efectivo en sus cuentas.
Además, los atacantes tienden a evitar países donde las transacciones internacionales son más difíciles y requieren intervención local para lavar el dinero. Aunque la mayoría de las campañas en se centraron en sitios web bancarios tradicionales, los objetivos también incluyeron instituciones que facilitan transacciones de gran volumen y valor, como la Cámara de Compensación Automatizada (ACH) o las transferencias de crédito de la Zona Única de Pagos en Euros (SEPA). Muchas campañas se dirigieron a cuentas bancarias corporativas y sistemas de nómina.
Por último, los troyanos bancarios son como las ratas: pateas un cubo de basura y seis de ellos salen corriendo en todas direcciones. Leerás sobre la mayoría de ellos una vez y nunca más. Déjame mostrarte algunos trabajos realizados por Wontok:
Pero hay cuatro grandes tipos que nunca parecen desaparecer: Carberp, Citadel, SpyEye y especialmente Zeus.
Ahora, le brindaré una breve explicación de las características de estos malwares. Más adelante vamos a realizar ingeniería inversa en la parte bancaria del malware para entender técnicamente cómo funcionan.
Carberp
La versión original de Carberp era una especie de troyano típico. Fue diseñado para robar datos confidenciales de los usuarios, como credenciales bancarias en línea o combinaciones de nombre de usuario y contraseña para otros sitios de alto valor. Carberp transmitió la información que robó a un servidor de comando y control (CC) bajo el control de su creador. Sencillo y directo. El único componente complicado era la complicada funcionalidad del rootkit, que permitía al troyano pasar desapercibido en el sistema de la víctima. La próxima generación de Carberp agregó complementos: uno que eliminaba el software antimalware de las máquinas infectadas y otro que intentaba eliminar otros programas maliciosos en caso de que existieran.
Las cosas se pusieron más interesantes cuando sus mantenedores le dieron a su troyano la capacidad de cifrar datos robados mientras pasaban entre las máquinas afectadas y su servidor CC. Según los investigadores, Carberp representó la primera vez que un malware utilizó un cifrado criptográfico generado aleatoriamente en lugar de una clave estática.
En un momento dado, Carberp comenzó a trabajar en conjunto con el kit de exploits Blackhole más famoso, generando un enorme aumento en las infecciones. Todo iba bien para Carberp y sus autores. Incluso lograron desarrollar un módulo Carberp en Facebook que intentaba engañar a los usuarios para que entregaran vales de efectivo electrónico como parte de una estafa de tipo ransomware.
A partir de ahí la cosa fue un poco cuesta abajo. Las autoridades rusas capturaron a ocho hombres que se cree que eran responsables de controlar el malware, pero Carberp no murió. Desde entonces no han faltado los intentos de sabotaje y detenciones de Carberp. En un momento dado, los delincuentes que intentaran implementar la herramienta tendrían que pagar 40.000 dólares para acceder a ella hasta que se publicara su código fuente el año pasado, lo que daría acceso al troyano a casi cualquier persona con suficiente conocimiento.
Ciudadela
El troyano Citadel es una variación del rey del malware financiero, Zeus. Surgió, junto con otros troyanos únicos, después de que se filtrara el código fuente del troyano Zeus en. La notoriedad inicial de Citadel tiene mucho que ver con la novedosa adopción por parte de su creador del modelo de desarrollo de código abierto que permitía a cualquiera revisar su código. y mejorarlo (empeorarlo).
El grupo o grupos de delincuentes responsables de Citadel desarrollaron una comunidad de clientes y contribuyentes en todo el mundo que sugerirían nuevas características para el malware, contribuyendo con código y módulos como parte de una especie de red social criminal. Algunas de las capacidades más fascinantes incluían el cifrado AES de archivos de configuración y comunicaciones con el servidor CC, la capacidad de evadir sitios de seguimiento, la capacidad de bloquear el acceso a sitios de seguridad en las máquinas de las víctimas y una funcionalidad que podía grabar vídeos de las actividades de las víctimas.
La red de contribuyentes de Citadel continuó agregando características más nuevas y dinámicas al troyano, haciéndolo más adaptable y más rápido, hasta que se volvió tan utilitario que los delincuentes comenzaron a usarlo para todo tipo de robo de credenciales.
Citadel tuvo un gran éxito hasta que Microsoft y una coalición de otras compañías lanzaron una operación que eventualmente desactivaría alrededor del 88 por ciento de sus infecciones.
ojo espía
Se suponía que el troyano SpyEye sería el troyano bancario que competiría con Zeus. Al final, SpyEye era como todos los hombres que se dice que son herederos de la grandeza de Michael Jordan. Tenían entusiasmo, tenían potencial, pero no pudieron derrotar al rey. Zeus es el rey, sin duda, pero SpyEye causó sensación y desapareció rápidamente.
En un momento dado, partes de la operación de la botnet SpyEye se fusionaron con la de Zeus en una mega botnet bancaria, pero finalmente se agotó sin estar a la altura de las expectativas. Aunque tuvo sus éxitos. Los atacantes implementaron SpyEye en un ataque dirigido a la página de facturación en línea de Verizon, robando información personal y financiera confidencial de los usuarios durante más de una semana sin previo aviso. Apareció en el Servicio de Almacenamiento Simple de Amazon, utilizando al proveedor de la nube como plataforma para ataques. Apareció en dispositivos Android en un momento dado, pero una serie de arrestos y tal vez simplemente una falta de efectividad terminaron con la carrera de SpyEye.
Tres hombres bálticos fueron arrestados en el verano de por utilizar SpyEye para llevar a cabo una operación de robo de información bancaria altamente organizada. En mayo de este año, un presunto desarrollador de SpyEye fue arrestado en Tailandia y extraditado a los Estados Unidos, donde enfrenta más de treinta cargos relacionados con botnets y fraude bancario.
Desde entonces, no hemos oído mucho sobre SpyEye.
Zeus
Y luego estaba Zeus. Zeus, que lleva el nombre del rey de los dioses griegos, no tiene paralelo en alcance, uso y eficacia. Desde que su código fuente se filtró en, parece que casi todos los troyanos bancarios tienen versiones de Zeus integradas. Entre ellos, sólo Zeus es lo suficientemente conocido como para tener su propia página de Wikipedia. Hay 22 páginas, cada una con diez historias, en Threatpost (el sitio al que van todos estos hipervínculos) que hacen referencia al troyano Zeus. Podrías escribir una novela larga de Leo Tolstoi o Marcel Proust sobre las travesuras del troyano Zeus, por lo que es casi imposible resumir brevemente la amenaza, pero mencionaremos algunos aspectos destacados.
Zeus irrumpió en escena en después de que fuera utilizado en un ataque de robo de credenciales dirigido al Departamento de Transporte de los Estados Unidos. Desde entonces, Zeus ha infectado decenas de millones de máquinas y ha resultado en el robo de cientos de millones de dólares hasta que, según se informa, su creador renunció en y publicó el código fuente del malware en línea. Muchos cientos de personas cumplieron o están cumpliendo penas de cárcel por su participación en estafas relacionadas con Zeus.
Fue uno de los primeros programas maliciosos vendidos mediante licencia. Hasta que su código fuente se hizo público, Zeus era el azote de bancos y corporaciones por igual. La lista de sus víctimas es demasiado larga para enumerarla, pero incluye bancos, corporaciones y agencias gubernamentales prominentes.
Zeus también es conocido por el uso innovador del “hermano menor” móvil llamado ZitMo para eludir los populares esquemas de autenticación de dos factores con un código de seguridad que se proporciona mediante mensaje de texto. SpyEye y Carberp también desarrollaron sus respectivos homólogos móviles.
Dejando a un lado el malware bancario, el troyano Zeus se encuentra entre los más notorios de todos los programas maliciosos, quizás sólo superado por Stuxnet.
Ataque de formulario y ataque de hombre en el navegador (MITB)
La captura de formularios es una técnica que permite al atacante interceptar los datos HTTP POST/GET del navegador. La captura de formularios roba datos en solicitudes HTTP POST/GET emitidas por un navegador cuando se envía un formulario HTML a un servidor.
La captura de formularios utiliza dos métodos básicos para robar la información:
- Todos los datos GET/POST se detectan a partir de los datos salientes mediante PCAP (Captura de paquetes). Sin embargo, esta técnica sólo funciona para comunicaciones no cifradas (es decir, no funciona si SSL/TLS se implementa a través de HTTP).
- El agarre de forma robusto utiliza ganchos. En este enfoque, el malware que reside en la máquina de la víctima conecta las bibliotecas de vínculos dinámicos (DLL) del navegador para robar el contenido antes de enviarlo al servidor. Si se hace correctamente, el contenido puede ser robado antes de cifrarse. Este robo se puede lograr mediante una variedad de mecanismos de enganche; un complemento malicioso del navegador es un ejemplo (BHO, Browser Helper Object). Se pueden aplicar una variedad de técnicas de enlace, como el enlace en línea, el enlace de importación de tabla de direcciones (IAT) o el método de creación de subprocesos remotos (CRT), etc. Generalmente, el enlace del navegador se realiza en modo de usuario.
Como puede ver por ejemplo, Internet Explorer usa wininet.dll/ws2_32.dlll y Mozilla Firefox usa nspr4.dll/nss3.dll, estas DLL contienen API para comunicarse con la interfaz de sockets. Por ejemplo, la función pr_write se utiliza para manejar los datos que deben escribirse en un búfer antes de transmitirlos al servidor. Al conectar esta API, puede leer todos los datos escritos en el búfer cuando se envía el formulario. Los troyanos bancarios conocidos como Zeus y SpyEye implementaron por primera vez la captura de formularios conectando las API del navegador web.
¡Conviértete en un ingeniero inverso certificado!
Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender
Finalmente, esta técnica proporciona una gran ventaja sobre el registro de claves, porque los datos robados mediante la captura de formularios son más legibles, lo que reduce la cantidad de trabajo que el autor del malware tiene que realizar para limpiar elementos no deseados.