En el mundo del malware, las mulas son las
personas que se dedican a realizar el trabajo sucio: mover el dinero
desde la cuenta bancaria víctima hacia la suya, y de ahí a través de
traspaso de dinero en efectivo, el dinero viaja a los verdaderos
atacantes (cerebros de la operación) mientras ellos se quedan con un
pequeño porcentaje y corren todo el riesgo. URLZone ha desarrollado un
método para evitar que los investigadores atrapen a estas mulas, y
pasar así todavía más desapercibidos: Usan cuentas de mulas reales
durante su comportamiento "habitual", pero, si notan que están siendo
monitorizados, engañan automáticamente a los investigadores realizando
transacciones legítimas a cuentas de conocidos de las víctimas que,
lógicamente, en realidad no son mulas.
El llamado URLZone está
siendo muy especial, por lo innovador de algunas técnicas con las que
se protege. Hace algunos días nos llamaba la atención que el troyano
fuese capaz de recordar el balance anterior de su víctima, y falsearlo
en la cuenta una vez ha sido robado. Así, el usuario no percibe que
está siendo víctima de fraude. No puede detectar la falta de dinero en
su cuenta a menos que analice un extracto por algún otro medio que no
sea su propio ordenador troyanizado, o le sea devuelto algún recibo.
URLZone
es una evolución de la familia de los Silentbankers que, como
característica principal, realiza las transacciones de forma
automática. Habitualmente las contraseñas robadas va a parar a manos de
los atacantes y las transacciones ilegítimas son realizadas "a mano"
desde otro ordenador. Con URLZone, las transacciones a muleros se hacen
de forma automática desde el ordenador de la víctima sin que este lo
sepa, lo que complica por ejemplo el demostrar jurídicamente que no ha
sido la víctima la que ha realizado la transacción.
Como la
mayoría de las empresas que estudiamos malware, RSA FraudAction
Research Lab ejecuta en un entorno lo más real posible un troyano, y
estudia su comportamiento. Observaron que en su laboratorio, como es
habitual, el troyano realiza transacciones de forma automática. Pero, y
aquí está lo relevante, comprobaron que las cuentas a las que se hacían
transferencias eran cuentas de personas reales, conocidas o no, pero
siempre a las que el usuario víctima ya habían realizado transacciones
previamente. Esto quiere decir que, cuando el troyano se sabe
"monitorizado", no usa las cuentas de muleros sino que almacena en una
base de datos (probablemente junto con el balance anterior de la
víctima) cuentas habitualmente utilizadas por el usuario para realizar
transferencias "falsas" cuando le vigilan.
Cuando URLZone detecta
que no está en su botnet "legítima", o sea, la red de sistemas
infectados que reciben órdenes de uno o varios sistemas centrales,
modifica su comportamiento para eludir a los investigadores. Si es
instalado en un laboratorio, y la red central no "conoce" a ese
sistema, simulará un comportamiento extraño, en el que toda persona que
haya recibido dinero de la cuenta de la víctima, parecerá que es el
mulero de turno. De paso, ocultan así las cuentas de los muleros
reales, y perseguir el dinero se convierte en una tarea todavía más
compleja.
Todo esto se controla desde el servidor central. Tiene
un protocolo especial de comunicación con las víctimas y si, por
cualquier razón, sospecha que uno de los sistemas infectados no es una
víctima real, sino que ha sido infectado en un sistema de laboratorio,
en vez de desconectar o no hacer nada (así actúan la mayoría de
troyanos hoy día), busca en su base de datos de conocimiento de la
víctima y simula transacciones que no harán más que confundir a los
investigadores, bancos, víctimas y sobre todo, a las personas que
recibirán dinero sin haberlo pedido y serán acusados de mulas
ocasionales.
Sin duda, una inteligente vuelta de tuerca más en el mundo del fraude online.
Más Información:
The Arms Race between Black Hats and White Hats Steps Up with URLZone Trojan
http://rsa.com/blog/blog_entry.aspx?id=1530
Autor: Sergio de los Santps
Fuente: Hispasec
No hay comentarios.:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!