Los ciber-criminales también sacan partido de la crisis financiera, según Trend Micro

Por Mundo Contact | 13 octubre 2008 | Tecnología

La compañía ha detectado un ataque de spam que ha tenido gran credibilidad entre los usuarios debido a los desafortunados acontecimientos de Wall Street.Los ahorradores que realizan operaciones bancarias online se exponen al peligro de creer que deben instalar un “certificado de seguridad” y lo que descargan es un troyano. Éste pasa desapercibido ayudado por un rootkit que registra las secuencias del teclado y roba nombres de usuario y contraseñas enviándolas después a un servidor remoto. 

Trend Micro Incorporated advierte de que las noticias sobre la crisis financiera de los créditos hipotecarios de Lehman Brothers han avivado las preocupaciones sobre la suerte de otras grandes compañías de inversión. Después de todo, Lehman Brothers era un icono que representaba solidez y confianza en la industria financiera, pues lo avalaban su 158 años de experiencia. Estas preocupaciones han llevado a ruina a los millones de usuarios de banca online que recibieron un ataque de spam recientemente.

El 12 de septiembre, el equipo de investigación de Trend Micro descubrió un esquema de phishing espía dirigido a Wachovia Bank. Este ataque generó la descarga de un keylogger, junto con un rootkit que ayudaba a ocultar todas las actividades relacionadas del keylogger. Aparentemente aleatorio, este ataque de spam resultó ser sólo uno de una serie de ataques dirigidos que comenzaron con un spam del Bank of America el 9 de septiembre de 2008. Trend Micro detectó la misma cadena de infección en un spam de Merrill Lynch a finales de septiembre.

El mensaje de spam hacía que los clientes online de Wachovia Bank instalaran de forma manual el “Wachovia Security Plus Certificate” para tener acceso seguro a los nuevos servicios online. Al hacer clic en el enlace se descargaba un archivo que el usuario podía ejecutar o guardar según prefiriera. Por supuesto, al ejecutarlo no le daba un acceso seguro a absolutamente nada, sino al contrario, descargaba un archivo detectado por Trend Micro como TROJ_AGENT.AINZ.

Cómo actuaron los ciber-criminales en esta ocasión

El troyano descargado realizaba las siguientes rutinas durante la ejecución:

Descargaba dos ejecutables (también identificados como TROJ_AGENT.AINZ) y los ejecutaba directamente.Instalaba un ejecutable (también TROJ_AGENT.AINZ) y un archivo de sistemas (TROJ_ROOTKIT.FX, un componente de rootkit).Creaba y modificaba las entradas del registro para ejecutar automáticamente los archivos descargados e instalados.Borraba las cookies de las sesiones del navegador.

Juntos, troyano y rootkit registraban las pulsaciones del teclado realizadas por los usuarios al capturar información dentro del navegador Internet. La rutina de eliminación de cookies obligaba a los usuarios a capturar los datos nuevamente (incluso después de activar la función “Recordar Contraseña”. Es entonces cuando TROJ_AGENT.AINZ enviaba la información recopilada a un site ubicado en Alemania a través de un post HTTP.

Los autores de este ataque crearon un rootkit (TROJ_ROOTKIT.FX) para asegurarse de que la rutina de robo de información procedía completamente sin que el usuario lo supiera. Este rootkit, como la mayoría de ellos, oculta los procesos, por lo que al intentar verlos a través del Administrador de Tareas o incluso el Explorador de Procesos (una herramienta avanzada de visualización de procesos de los PCs) no se detectaban, ni se ponía de manifiesto la ejecución de rutinas maliciosas.

Asimismo, el rootkit también oculta archivos para cambiar la configuración de las “Opciones de Carpeta…” de Windows Explorer mostrando todos los archivos. Los rootkits además, realizan la mayoría de los cambios del sistema al manipular el registro del sistema – y después ocultan estas entradas del registro modificadas-. Estas capacidades hacen de los rootkits un componente del código malicioso muy  atractivo para las amenazas Web.

Poco después del spam de Wachovia, Trend Micro encontró otro ataque de spam, esta vez suplantando a Merrill Lynch, que empleaba la misma táctica de ingeniería social aprovechándose de las preocupaciones por la seguridad. Este ataque utiliza un backdoor (BKDR_AGENT.AWAF) en lugar de un keylogger, pero emplea la misma variante del rookit (TROJ_ROOTKIT.FX) para ocultar el backdoor. El backdoor se conecta a una dirección IP en Malasia para enviar y recibir información. El uso de rookits aumenta el daño potencial de estos ataques ya que permite que las rutinas maliciosas se ejecutenn sin ser advertidas durante largos periodos de tiempo.

Riesgos para los usuarios: robo de identidad

Este ataque de spam utiliza una técnica de ingeniería social que aprovecha las preocupaciones de los consumidores respecto a la seguridad de las transacciones bancarias online. Asimismo, la URL del enlace del spam parece legítima, lo que aumenta la credibilidad y la eficacia del ataque.

Trend Micro advierte a los usuarios que no tengan protección que corren el peligro que los ciber-criminales roben sus identidades online. Los clientes de banca online también pueden perder sus activos financieros ya que la información robada puede utilizarse para tener acceso a sus cuentas y realizar transacciones sin su conocimiento o consentimiento. Los rootkits no detectados también hacen vulnerable al sistema frente a otras actividades criminales después de la infección inicial, ya que encubren las actividades de código malicioso relacionado como la actualización local de los archivos existentes, la instalación de componentes y la modificación de la configuración del sistema.

Soluciones y Recomendaciones de Trend Micro

Trend Micro Smart Protection Network ofrece seguridad más inteligente frente a los métodos convencionales, pues bloquea las amenazas más recientes antes de llegue a producirse el ataque.

Esto es posible gracias a que Smart Protection Network combina tecnologías “in-the-cloud” únicas y una arquitectura de clientes ligera para proteger de forma inmediata y automática la información del usuarios dondequiera que se conecte. Asimismo, ofrece otro nivel de defensa a través de la tecnología Web Reputation, que identifica las websites maliciosas o peligrosas y bloquea el acceso a los usuarios en función del nivel de reputación de los dominios.

Por su parte, la tecnología File Reputation evalúa la integridad de todos los archivos descargados en el ordenador. Así, detecta y elimina TROJ_AGENT.AINZ, BKDR_AGENT.AWAF, TROJ_ROOTKIT.FX y otras amenazas peligrosas. La tecnología de correlación “in-the-cloud” con análisis de comportamiento encuentra asociaciones entre las combinaciones de actividades de amenazas para determinar si son parte de un ataque malicioso general.

Los siguientes enlaces del blog de Código Malicioso de Trend Micro hablan sobre los ataques de spam:
http://blog.trendmicro.com/wachovia-security-certificate-installs-rootkit/
http://blog.trendmicro.com/in-the-virtual-crime-world-merrill-lynch-follows-wachovias-fate/

Los rootkits tienen una participación importante en varios ataques web recientes, si desea tener más información, puede visitar:
http://blog.trendmicro.com/new-old-bills-the-rechnung-revivals/
http://blog.trendmicro.com/one-year-later-italian-job-still-working-overtime/
http://blog.trendmicro.com/arsenal-fan-site-compromised-serves-malware/
http://blog.trendmicro.com/trojanized-word-docs-used-in-another-targeted-attack/

Si desea consultar las descripciones técnicas del código malicioso relacionado con este ataque puede hacerlo a través de:
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ%5FAGENT%2EAINZ&VSect=T
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ%5FROOTKIT%2EFX&VSect=T