Phishing y malware: El caso de Bank of India

Me comenta uno de los feligreses habituales del blog, el amigo jcbarreto, que deberíamos hacer una reseña sobre el reciente caso de Bank of India. Juan Carlos ya hizo mención a este asunto en agosto, si bien este caso sucedió mientras estaba de vacaciones y no tuve ocasión de hablar de él en su momento.

Así que hoy vamos a tirar un poco de biblioteca, y vamos a ver qué pasó recientemente con Bank of India. El caso que se presenta puede que sea, probablemente, el peor escenario posible dentro de los compromisos de seguridad de una institución, y ese no es otro que empleen tu plataforma para la distribución de malware a tus propios clientes. En una esacala de riesgo reputacional, hablamos prácticamente de 10 sobre 10.

El pasado 31 de agosto, los administradores de seguridad de Bank of India tuvieron que afrontar que un iframe malicioso redirigiera el tráfico legítimo de su página a un sitio que los atacantes habían habilitado para distribuír malware desde él. Para los que no lo sepáis, un iframe es un elemento HTML que permite insertar o incrustar un documento HTML dentro de un documento HTML principal.

En este sitio malicioso se contabilizaron 31 piezas (sorry Julio :P) de malware distintas, cuya descarga a las máquinas de los usuarios afectados provocaría posteriormente la infección de una cantidad ingente de clientes de la entidad, cuyo número real no ha sido determinado. Según la información que ofrecieron algunos medios, parece que los autores del ataque no son otros que Russian Business Network, un grupo de crimen organizado especializado en el robo de credenciales. La lista completa de malware vino a ser parecida a la que sigue:

Email-Worm.Win32.Agent.l
Rootkit.Win32.Agent.dw
Rootkit.Win32.Agent.ey
Trojan-Downloader.Win32.Agent.cnh
Trojan-Downloader.Win32.Small.ddy
Trojan-Proxy.Win32.Agent.nu
Trojan-Proxy.Win32.Wopla.ag
Trojan.Win32.Agent.awz
Trojan-Proxy.Win32.Xorpix.Fam
Trojan-Downloader.Win32.Agent.ceo
Trojan-Downloader.Win32.Tibs.mt
Trojan-Downloader.Win32.Agent.boy
Trojan-Proxy.Win32.Wopla.ah
Trojan-Proxy.Win32.Wopla.ag
Rootkit.Win32.Agent.ea
Trojan.Pandex
Goldun.Fam
Backdoor.Rustock
Trojan.SpamThru
Trojan.Win32.Agent.alt
Trojan.Srizbi
Trojan.Win32.Agent.awz
Email-Worm.Win32.Agent.q
Trojan-Proxy.Win32.Agent.RRbot
Trojan-Proxy.Win32.Cimuz.G
TSPY_AGENT.AAVG (Trend Micro)
Trojan.Netview

Esos 31 elementos malware contenían troyanos, cuya misión era capturar las credenciales de los usuarios, y subir los datos robados a un servidor FTP bajo el control de los atacantes. En definitiva, malware orientado al robo de credenciales.

La síntesis del ataque puede resumirse en la presencia, en la página de Bank of India, de una serie de iframes maliciosos, tal y como hemos comentado, de modo que el visitante legítimo de la entidad era redirigido de forma transparente a los sitios maliciosos. Una vez efectuada la redirección, las páginas controladas por los atacantes intentaron (y consiguieron) infectar a los usuarios aprovechando las vulberabilidades existentes en los distintos productos de navegación. Una vez troyanizados, para los atacantes es “coser y cantar” y sólo han de recolectar las credenciales robadas alegremente de los sitios FTP dispuestos a modo de bote.

¿Y cómo pueden pasar en pleno siglo XXI estas cosas?

Es curioso comprobar como muchos medios no han comentado nada sobre cómo es posible que el código de la página de una entidad tenga incrustados esos iframes maliciosos.

Tampoco se ha oído mucho, al hilo de este caso particular, sobre cómo es posible que visitando una página maliciosa, acabes infectado con troyanos bancarios. En ambos casos se palpa en el aire la presencia de vulnerabilidades muy serias. Dejo al lector que sienta curiosidad las indagaciones sobre cómo pudieron coexistir estas dos explosivas combinaciones.

Hablaron del caso Bank of India:

http://www.scmagazine.com/us/news/article/734987/exploited-bank-india-website-downloads-malware/
http://www.zdnetasia.com/news/security/printfriendly.htm?AT=62031723-39000005c
http://www.theregister.co.uk/2007/09/01/bank_of_india_website_takeover/print.html
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9033999&source=rss_topic17

Fuente: http://www.sahw.com/wp/archivos/2007/09/14/phishing-y-malware-el-caso-de-bank-of-india/

Suscríbete a nuestro Boletín