Los cibercriminales también sacan partido de la crisis financiera.

El 12 de septiembre, el equipo de investigación de Trend Micro descubrió un esquema de phishing espía dirigido a Wachovia Bank. Este ataque generó la descarga de un keylogger, junto con un rootkit que ayudaba a ocultar todas las actividades relacionadas del keylogger. Aparentemente aleatorio, este ataque de spam resultó ser sólo uno de una serie de ataques dirigidos que comenzaron con un spam del Bank of America el 9 de septiembre de 2008. Trend Micro detectó la misma cadena de infección en un spam de Merrill Lynch a finales de septiembre.

El mensaje de spam hacía que los clientes online de Wachovia Bank instalaran de forma manual el “Wachovia Security Plus Certificate” para tener acceso seguro a los nuevos servicios online. Al hacer clic en el enlace se descargaba un archivo que el usuario podía ejecutar o guardar según prefiriera. Por supuesto, al ejecutarlo no le daba un acceso seguro a absolutamente nada, sino al contrario, descargaba un archivo detectado por Trend Micro como TROJ_AGENT.AINZ.

Cómo actuaron los ciber-criminales en esta ocasión

El troyano descargado realizaba las siguientes rutinas durante la ejecución:

Descargaba dos ejecutables (también identificados como TROJ_AGENT.AINZ) y los ejecutaba directamente.

Instalaba un ejecutable (también TROJ_AGENT.AINZ) y un archivo de sistemas (TROJ_ROOTKIT.FX, un componente de rootkit).

Creaba y modificaba las entradas del registro para ejecutar automáticamente los archivos descargados e instalados.

Borraba las cookies de las sesiones del navegador.

Juntos, troyano y rootkit registraban las pulsaciones del teclado realizadas por los usuarios al capturar información dentro del navegador Internet. La rutina de eliminación de cookies obligaba a los usuarios a capturar los datos nuevamente (incluso después de activar la función “Recordar Contraseña”. Es entonces cuando TROJ_AGENT.AINZ enviaba la información recopilada a un site ubicado en Alemania a través de un post HTTP.

Los autores de este ataque crearon un rootkit (TROJ_ROOTKIT.FX) para asegurarse de que la rutina de robo de información procedía completamente sin que el usuario lo supiera. Este rootkit, como la mayoría de ellos, oculta los procesos, por lo que al intentar verlos a través del Administrador de Tareas o incluso el Explorador de Procesos (una herramienta avanzada de visualización de procesos de los PCs) no se detectaban, ni se ponía de manifiesto la ejecución de rutinas maliciosas.

Asimismo, el rootkit también oculta archivos para cambiar la configuración de las “Opciones de Carpeta…” de Windows Explorer mostrando todos los archivos. Los rootkits además, realizan la mayoría de los cambios del sistema al manipular el registro del sistema – y después ocultan estas entradas del registro modificadas-. Estas capacidades hacen de los rootkits un componente del código malicioso muy atractivo para las amenazas Web.

Poco después del spam de Wachovia, Trend Micro encontró otro ataque de spam, esta vez suplantando a Merrill Lynch, que empleaba la misma táctica de ingeniería social aprovechándose de las preocupaciones por la seguridad. Este ataque utiliza un backdoor (BKDR_AGENT.AWAF) en lugar de un keylogger, pero emplea la misma variante del rookit (TROJ_ROOTKIT.FX) para ocultar el backdoor. El backdoor se conecta a una dirección IP en Malasia para enviar y recibir información. El uso de rookits aumenta el daño potencial de estos ataques ya que permite que las rutinas maliciosas se ejecutenn sin ser advertidas durante largos periodos de tiempo.

Riesgos para los usuarios: robo de identidad

Este ataque de spam utiliza una técnica de ingeniería social que aprovecha las preocupaciones de los consumidores respecto a la seguridad de las transacciones bancarias online. Asimismo, la URL del enlace del spam parece legítima, lo que aumenta la credibilidad y la eficacia del ataque.

Trend Micro advierte a los usuarios que no tengan protección que corren el peligro que los ciber-criminales roben sus identidades online. Los clientes de banca online también pueden perder sus activos financieros ya que la información robada puede utilizarse para tener acceso a sus cuentas y realizar transacciones sin su conocimiento o consentimiento. Los rootkits no detectados también hacen vulnerable al sistema frente a otras actividades criminales después de la infección inicial, ya que encubren las actividades de código malicioso relacionado como la actualización local de los archivos existentes, la instalación de componentes y la modificación de la configuración del sistema.

Anuncios

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s