crimeware

Cuando pensamos que podríamos ser robados, lo último que se nos ocurriría es en un programa que “vigila“ nuestras acciones a la espera que ingresemos nuestros datos confidenciales en alguna institución finaciera, comercial y/o bancaria para aprovecharlos con fines delictivos.

10-10-2006 -  Este código malicioso llega por correo electrónico en mensajes de otras personas infectadas o bien en forma de correo no solicitado (Spam). Generalmente invitan al usuario a descargar un archivo mediante diversas técnicas de engaño (Ingeniería social).

Estos troyanos, en particular tienen un objetivo bien definido, que podría suponerse por su nombre: pretenden obtener datos confidenciales de los usuarios para posteriormente enviarlos a personas que se dedican a utilizarlos, causando pérdidas, generalmente económicas, a los dueños de esos datos.

El funcionamiento es sencillo:

1. Se instala un programa (banker) en el sistema de cualquier usuario.
   
   
2. El programa monitoriza todas las acciones del mismo sin que este se percate de nada extraño.
   
   
3. Si el usuario realiza algunas de las acciones previstas por el creador del código malicioso, como puede ser acceder a su cuenta a través del sitio de Internet de su banco (Banca virtual o en línea), entonces, la información ingresada por el usuario es almacenada en archivos (texto, imagen o video).
   
   
4. Cada cierto tiempo el programa envía la información recolectada a su creador.
   
   
5. El delincuente utiliza los datos recibidos ocasionando fraudes, robos o cualquier otro fin delictivo imaginado.
   
   

El mensaje engañoso no necesariamente tiene que ver con acciones financieras y puede ser de cualquier tipo. El objetivo del mismo es simplemente engañar al usuario para que el mismo pulse en el enlace proporcionado, descargando un archivo ejecutable.

 Importante: para el desarrollo de este documento, y apuntando a las conclusiones que se desean extraer, se trabaja con un antivirus instalado, pero desactualizado que no detecta el ingreso del código malicioso que se está probando. El objetivo es analizar cómo un sistema ya infectado es difícil de controlar y destacar la importancia de defensas proactivas y actualizadas.

Etapa 1: El engaño

El usuario recibe un correo con una tarjeta virtual, en donde puede verse claramente que el enlace apunta a un archivo ejecutable. Cuando el usuario presiona sobre el enlace, se descarga el archivo. Posteriormente si se desea ver la supuesta tarjeta, el archivo será ejecutado en el sistema del usuario.

Para seguir con el procedimiento, aquí se simula que el usuario descarga el archivo y lo almacena en su sistema para su visualización posterior.

Como ya se mencionó, el antivirus instalado permanece desactualizado y no detecta como amenaza el programa descargado.

Etapa 2: La ejecución

Cabe aclarar que el archivo descargado no es un virus, sino un troyano. La diferencia fundamental es que el objetivo del mismo no es propagarse por el sistema infectando otros ficheros, sino engañar al usuario pretendiendo ser otro programa (en este caso una tarjeta virtual), permaneciendo oculto y “vigilando” las acciones del usuario.

Posteriormente, al intentar ejecutar el archivo, por supuesto la tarjeta no aparece, aunque en algunos casos, y para completar el engaño, podría aparecer.

Aquí las acciones realizadas van a variar según el troyano con el que se esté tratando. En nuestro caso en particular se ven dos efectos visuales inmediatos:

1. Una pantalla negra que se abre y se cierra de inmediato (ejecución de un proceso bajo DOS).
   
   
2. Cierre inesperado de aplicaciones como el navegador Firefox y el antivirus. Es decir que la poca protección que da el antivirus desactualizado, ahora tampoco existe.

Después de ello, no se percibe ningún efecto indeseado y para el usuario todo puede pasar como un error temporal, e incluso que la tarjeta virtual no se ve como debería verse.

A continuación, se analizará con profundidad lo ocurrido:

1. El usuario intenta ejecutar el archivo y aparece una pantalla negra.

Como puede apreciarse en la barra de título, se ha ejecutado un programa llamado “reg.exe”. El mismo es utilizado para modificar el registro de Windows.

Un análisis pormenorizado de las modificaciones realizadas, arroja los siguientes resultados:

2. Se cierra Firefox y el antivirus instalado, esa vez y cada vez que se intente abrirlos. El objetivo de finalizar estos procesos es dejar Internet Explorer como único recurso de navegación web para el usuario, y que el troyano no sea detectado por programas de seguridad o antivirus.
   

Para confirmar esto, se puede ver la lista de procesos en funcionamiento antes y después de la ejecución de este troyano:

En la imagen se puede apreciar que fueron cerrados dos procesos, pero no se observa otro programa extraño en ejecución. Esto es debido a que el troyano examinado oculta sus procesos de forma tal que no pueda ser encontrado fácilmente.

Etapa 3: El robo de información

La ejecución del archivo fue un poco sospechosa, pero todo sigue funcionando sin problemas en el sistema y a menos que se preste mucha atención, nada indicaría que puede estar siendo “observados” por un invitado indeseado.

Para continuar en la banca en línea, se puede verificar que realmente el programa instalado realiza la grabación de los datos que el usuario ingresa, además de tomarse libertades como modificar los sitios de Internet que desea.

Estas acciones pueden visualizarse detalladamente en el siguiente video:

• http://www.nod32-la.com/link.php?i=27.

Es sabido que cualquiera puede ser engañado mediante las técnicas del Phishing, por lo que un usuario responsable con su dinero, seguirá todas las recomendaciones dadas normalmente para evitar este tipo de engaños:

1. No pulsar en enlaces para acceder a su banco en línea y escribir la URL (dirección de Internet9 directamente en el navegador.
   
   
2. Verificar el candado en la parte inferior del navegador (u otro indicador de seguridad según sea el navegador utilizado) y que la página a la cual se acceda comience con "https://".
   
   
3. Verificar el certificado digital luego de ingresar al sitio.

Siguiendo este procedimiento, para esta demostración se toma www.banesto.es debido a que es una de las entidades afectadas por este troyano en particular. De todos modos, cabe aclarar que el banco afectado puede ser cualquiera y de cualquier ubicación.

En ambas oportunidades se escribió la URL (www.banesto.es), verificándose que la página del banco en línea de Banesto comenzara con https, tuviera el candado y el certificado digital. Todo esto sobre Internet Explorer, ya que el troyano se encarga de cerrar cualquier otro programa de navegación que se intente utilizar.

En estas dos imágenes puede apreciarse la misma página de Internet de Banesto en un sistema sin infección (a la izquierda) y en un sistema afectado por el troyano (a la derecha).

Como puede verse en la segunda imagen, se incorpora un dato más. Si el usuario, generalmente apresurado por realizar sus tareas, no presta excesiva atención, sin duda ingresará esta última clave.

Entonces, ¿a qué se debe la diferencia en los sitios web?

Aquí cobra relevancia el dato que este código malicioso cierra cualquier navegador excepto Internet Explorer. Esto es debido que el troyano es capaz de interceptar las instancia de este navegador y modificar la página que se está mostrando al usuario, para solicitar los datos que sean necesarios obtener (la clave en este caso).

Después que el desprevenido usuario escribe todos los datos solicitados, los mismos son almacenados por el troyano en un archivo y enviados al autor del mismo cada cierto tiempo.

Actualmente, la información obtenida puede ser grabada en archivos de texto, imágenes (mediante capturas de pantalla cada cierto tiempo) o en videos grabados por el troyano.
En conclusión, el usuario nunca sabrá como fue que sus datos confidenciales fueron obtenidos por el delincuente y como su cuenta bancaria llegó a cero.

Etapa 4: Análisis post-morten

Las pruebas anteriores fueron realizadas en caja negra (Black-Box) debido a que se realiza una acción sin conocer los resultados que pueden obtenerse. En base a lo que se observa se extraen resultados, algunos de los cuales ya fueron descriptos.
A continuación un análisis más técnico nos proporciona información detallada del código malicioso.
El troyano analizado tiene las siguientes características:

• Nombre de detección: Win32/Bancodor.AB
  
  
• Fecha de descubrimiento: abril de 2006
  
  
• Sistemas operativos afectados: Windows 2000, XP y 2003
  
  
• Empaquetador: UPX (Ultimate Packer for eXecutables)
  
  
• Tamaño empaquetado: 35 KB
  
  
• Tamaño desempaquetado: 120 KB

Para comenzar el análisis se averigua el empaquetador utilizado y se procede a desempaquetar el archivo ejecutable.

Recordemos que el empaquetamiento es una acción que se puede realizar a cualquier ejecutable (aunque es más normal en el código malicioso) para cambiar su apariencia y comprimirlo en tamaño. Esto se realiza para ocultar el programa dañino de los antivirus tradicionales (al cambiar la apariencia) y para facilitar la distribución (al ser más pequeño).

Después de analizar el código, puede verse que el mismo graba los siguientes archivos, que permanecían empaquetados, en diferentes directorios:

• programasarchivos comunessystemlsass.exe, utilizado para asegurarse su inicio.
  Se agrega al registro como se verá posteriormente.
  
  
• sistemawinaupd.dll, archivo propio del código malicioso.
  
  
• sistemaxvid.dl, archivo inyectado en distintos procesos a monitorizar.
  
  
• sistemanUn.b, archivo encriptado con parámetros empleados por el troyano.

Además, en distintas etapas, guarda archivos temporales que posteriormente son eliminados:

• c:bkup.reg, temporal al ejecutarse el programa
  
  
• sistemadivx.ini, registro de las acciones realizadas e información robada.

Notas: “sistema” corresponde a la carpeta system32 del sistema sobre el que se instala, pudiendo variar según el sistema operativo (WindowsSystem32 en Windows XP y 2003 o WinntSystem32 en Windows 2000).
“Programas“ corresponde a la carpeta C:Archivo de Programas, que puede variar según el idioma de instalación seleccionado para Windows.

Debido a la utilización de ciertas tecnologías de Rootkit este programa malicioso oculta su presencia ante el sistema y el usuario, como ya pudo verificarse al ver la lista de procesos activos.
Más allá de esto, los archivos mencionados pueden ser encontrados en el directorio del sistema:

Con respecto a los archivos donde se registran las acciones y los parámetros, se encuentra lo siguiente:

El primer archivo muestra las acciones realizadas por el troyano y el segundo, los parámetros (encriptados) utilizados por el mismo.

Además, se modifican / eliminan / agregan claves en el registro, para asegurar su permanencia en el sistema y dificultar su hallazgo y remoción.

Algunas de modificaciones pudieron verse en las imágenes anteriores y otras que se agregan son las siguientes:

[HKEY_CURRENT_USERSoftwareMicrosoftInternet Explorer]
[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain]
[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerSearch]
[HKEY_CURRENT_USERSoftwareMicrsoftInternet ExplorerToolbarWebBrowser]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSearch]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerAboutURLs]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMain]
[HKEY_USERS.DefaultSoftwareMicrosoftInternet Explorer]
[HKEY_USERS.DefaultSoftwareMicrosoftInternet ExplorerMain]
[HKEY_USERS.DefaultSoftwareMicrosoftInternet ExplorerSearch]
[HKEY_CURRENT_USERSoftwareMicrsoftInternet ExplorerToolbarWebBrowser]
[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain]
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionGroup Policy
Objects LocalUser SoftwarePoliciesMicrosoftInternet ExplorerControl Panel]
[HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl Panel]
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced]

Por otro lado, las claves eliminadas son:

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorer
Browser Helper Objects]
[-HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerTypedURLs]
[-HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerToolbarWebBrowser]

Para asegurar su ejecución en el próximo inicio del sistema, el troyano modifica la sección del registro que es consultada por Windows.
Estas claves indican cuáles son los programas deben ejecutarse al iniciar el sistema operativo.

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun -> Archivos
de programaArchivos Comunessystemlsass.exe

Es importante remarcar que lsass.exe también es un archivo del sistema que se almacena en otra ubicación.
Esta técnica de utilizar el mismo nombre que archivos del sistema, es usada a menudo por los códigos maliciosos para confundir al usuario.

Después de instalarse, el troyano procede a detener los procesos que puedan dificultar su trabajo (como Firefox) o puedan delatar su presencia (como los antivirus).

La lista de procesos es extensa:

WINLDRA.EXE - NETSCAPE.EXE - OPERA.EXE - FIREFOX.EXE - MOZILLA.EXE - M00.EXE - WINTBPX.EXE - SWCHOST.EXE - SVOHOST.EXE - SVC.EXE - WINSOCK.EXE - SPOOLS.EXE - KERNELS32.EXE - mwfibpx.exe - nod32kui.exe - mcupdate.exe - mw1hel~1.exe - realsched.exe - tbon.exe - pucxyloo.exe - mouse32a.exe - winupdates.exe - backweb- - qttask.exe - mediagateway.exe - sox1.exe - shstat.exe - SpyAxe.exe - xcommsvr.exe - rwnt.exe - shost.exe - MouseElf.exe - aimexdll.exe - batserv2.exe - Elogerr.exe - sysc.exe - stopads.exe - istsvc.exe - uwfx5.exe - dazzler.exe - secure.exe - spoolsrv32.exe - ibm00001.exe - kernels64.exe - driver64.exe - paytime.exe - type32.exe - mediapipe.ex - adduz32.exe - itbill.exe - spysheriff.exe - apifl.exe - drsmartloadb.exe - gcasserv.exe - mpp2pl.exe - unspypc.exe - realsched.exe - isstart.exe - logitray.exe - winstall.exe - statusclient.exe - mpcsvc.exe - backorif.exe - NopeZ.exe - usrprmpt.exe - netnw.exe - hpbpsttp.exe - nvarem.exe - apifl.exe - UnSpyPC.exe

En ella se resaltan los siguientes:

• Navegadores: netscape.exe, opera.exe, firefox.exe, mozilla.exe
  
  
• Programas de seguridad: svc.exe
  
  
• Otros códigos maliciosos: secure.exe, spoolsrv32.exe, backorif.exe
  
  
• Antivirus: nod32kui.exe

Anteriormente se mencionó que el troyano utiliza técnicas de rootkit para ocultar sus procesos. Ejecutando un detector de rootkit puede apreciarse esta “cualidad” del programa dañino, ocultarse y simular ser otro archivo del sistema:

.

.

Finalmente, en cuanto a la forma en que se almacena / roba la información de las sitios visitados, el troyano espera el ingreso del usuario a su banco en línea.
En este caso en particular, según el código analizado, puede observarse que el programa está preparado para trabajar sobre los siguientes sitios de Internet:

- deutsche-bank.de	- diba.de	- Lacaixa
- haspa.de	- cgi-bin/INclient_	- caja-ingenieros
- bbk.es	- ebankinter	- sparkasse
- unicaja	- caixagalicia	- bankingportal
- mbs-potsdam.de	- homebanking	- citibank.de
- dresdner-privat.de	- postbank.de	- vr-networld-ebanking.de
- portal-banking.de	- vr-ebanking.de	- banesto.es/npage/loginparticulares.htm
- cc-bank.de	- commerzbanking.de	- axabanque.fr/client/sauthentification
- gad.de	- 1822direkt.com	 

Una vez confirmado que el usuario accede al sitio de Internet deseado, (Por ejemplo: https://extranet.banesto.es/ npage/loginParticulares.htm), el troyano procede a reemplazar el formulario original de ingreso de datos por el suyo en donde, como ya pudo verse, se agrega un campo “Clave de Firma” en el formulario de ingreso.

Parte del código HTML agregado por el troyano es el siguiente:

<form name="Entrada" method="post" action="">
<input type="hidden" name="entrada_por" value="">
<input type="hidden" name="dse_operationName" value="OPAccesoEmpresasABE">
<input type="hidden" name="dse_parentContextName" value="">
<input type="hidden" name="dse_processorState" value="initial">
<input type="hidden" name="dse_nextEventName" value="start">
<input type="hidden" name="dse_errorPage"
value="GlobalesJsperrorJspAccesoEmpresas.jsp">
. . .
. . .
<tr><td class="fila1" align="right" height="24">  Clave de Firma:</td>
. . .
. . .
</form>

El efecto de reemplazo del formulario en la página de internet, es perfectamente visible y puede apreciarse si se observa con atención.
Nuevamente, este efecto, puede visualizarse en el segundo video ubicado en el siguiente enlace:

• http://www.nod32-la.com/link.php?i=28

Una vez que el troyano almacena los datos, se conecta cada cierto tiempo a un servidor en Internet y envía la información obtenida.
El tráfico de red generado por el troyano se ve a continuación:

Este servidor actualmente se encuentra dado de baja por lo que las conexiones han fallado.

Conclusiones

El robo de información se ha convertido en el principal objetivo de los creadores de código malicioso, como lo demuestra la existencia de cientos de aplicaciones con publicidad no deseada (Adware) y programas espía detectados diariamente, uno de cuales ha sido analizado anteriormente.
Puede ver el informe del adware HotBar en el siguiente enlace:

• http://www.nod32-es.com/news/documentos/vida_y_obra_de_un_adware_y_spyware.htm

A estos espías se ha unido una forma más activa de robo, como es el uso de los troyanos bancarios. Todo indica que esta tendencia seguirá en ascenso y que sus creadores seguirán perfeccionando sus técnicas de infección y ocultamiento para lograr sus propósitos delictivos.

La reciente aparición de un troyano con todas las características estudiadas, y que además graba en video las acciones del usuario en sitios de Internet confirma esta tendencia de perfeccionamiento con fines maliciosos.

Es importante destacar que el código malicioso avanza continuamente y que viejos trucos son adecuados y lanzados nuevamente con nuevas variantes de códigos dañinos, por lo que estar protegido con aplicaciones de detección proactiva que detecte comportamientos anómalos, además de por firmas, es fundamental.

Adaptación: Ontinet.com, S.L. Fuente: © Eset, 2006 http://www.nod32-es.com/news/documentos/virus_banqueros_y_ladrones.htm