II CAMPAÑA CONTRA EL FRAUDE ONLINE Y POR LA SEGURIDAD EN LA RED.
Tras el análisis de varios correos “Honeypots” (en realidad no seria la definición exacta, tratándose de un cuenta de correo electrónico, sistema de detección de intrusos basado en señuelos) para la detención de correos fraudulentos, con los que cuenta la Comisión de seguridad de la Asociación de Internautas se pudo detectar un nuevo caso de tarjeta falsa que contiene un troyano bancario.
En el siguiente artículo se realiza un análisis del troyano bancario hasta encontrar los posibles receptores de los datos robados, a los bancos afectados.
30-4-07 ACTUALIZADO
26-04-2007 - Advertencia; Por motivos de seguridad se omiten algunos datos.
La recepción de este troyano bancario se produce tras recibir un correo electrónico que simula ser una llamativa tarjeta de un pequeño cachorro,
30-4-07 ACTUALIZADO, NOTIFICACIÓN FALSA DE DÉBITOS
Si pulsamos sobre la imagen o el enlace se produce la descarga de un fichero ejecutable,
Analizamos el servidor comprobamos que hay dos ficheros ejecutables, esto es debido porque la descarga se hace de forma aleatoria dependiendo el navegador usado,
Lo ficheros localizados se llaman; Ocarteiro.exe y amizade.exe ambos de 43,5 KB (44.544 bytes)
Comprobamos los ficheros y vemos que están comprimidos con “PECompact” (compresor de ficheros EXE, COM y DLL) , los descomprimimos para continuar el análisis sin tener que ejecutarlos (el análisis también se puede realizar con una análisis exhaustivo forense, pero no es necesario), vemos que este troyano es de la familia downloader (troyano que hace una descarga de otro programa mas potente),
Encontramos los nuevos pasos que dará el troyano y su nueva descarga, pero antes el troyano hace visita a una web para que el usuario no se crea que es una trampa,
El troyano hace una nueva descarga silenciosa y ejecución del nuevo fichero, realizamos otro análisis en el nuevo servidor y detectamos varios ficheros,
Los ficheros son; internet.exe y static.exe de 1,08 MB (1.135.104 bytes)
Ambos ficheros están comprimidos al descompilarlo se quedan en un tamaño de 9,36 MB (9.820.160 bytes) cada uno, lo primero que intentamos es comprobar su acción y no es mas que suplantar en nuestro navegador las web de distintas entidades bancarias y luego mandar los datos robados por correo electrónico, ejemplos de entidades suplantadas:
Pero lo mas importante de este análisis es saber donde van los datos obtenidos, pronto encontramos resultados.
Los correos electrónicos detectados son;
infochega2@gmail.com - novaera.lima@gmail.com - vamoconta2@gmail.com - empresa.r0x@gmail.com - timotio.lima@gmail.com
Como funciona un troyano bancario en el ordenador de una victima, 2ª PARTE:
http://seguridad.internautas.org/html/4189.html
Si usted recibe un correo de un extraño, un correo no deseado, incluso este tipo de tarjetas les recomendamos la máxima prudencia y si es posible no haga caso de este tipo de correos electrónico y NUNCA pulsar sobre los enlaces que contiene.
La mayoría de los antivirus no detecta este tipo de ficheros malware.
Comisión de Seguridad en la Red.
José María Luque Guerrero
http://seguridad.internautas.org -
www.seguridadenlared.org -
www.seguridadpymes.es
Asociación de Internautas.
www.internautas.org
II CAMPAÑA CONTRA EL FRAUDE ONLINE Y POR LA SEGURIDAD EN LA RED
El Instituto Nacional de Tecnologías de la Comunicación (INTECO), la Asociación de Internautas, Panda Software , Telefónica y ONO lanzan la "II CAMPAÑA CONTRA EL FRAUDE ONLINE Y POR LA SEGURIDAD EN LA RED" www.seguridadenlared.org/.La misma se desarrollará desde el 15 de marzo hasta el lunes 9 de mayo de 2007