Español | English
rss facebook linkedin Twitter

SpyEye se apunta al Man in the Browser

Hace menos de un mes, el departamento de e-crime de S21sec, detectó una nueva amenaza que dejaba inservible el segundo factor de autenticación basado en SMS. Hoy volvemos para anunciar una técnica que, aunque ya conocida, está teniendo gran impacto últimamente. Hablamos de la temida Man in the Browser.

En líneas generales dicha técnica (MitB), permite realizar operaciones fraudulentas usando la misma sesión de banca online que el usuario legítimo de una forma limpia y transparente para el usuario y la entidad.

En este caso no se trata del infame ZeuS, si no de su "competidor" conocido como SpyEye. A finales de 2009 apareció en los foros especializados un nuevo troyano bancario llamado SpyEye. Escrito en C++, funciona desde Windows 2000 hasta Windows 7. Se ejecuta en ring3 (modo de usuario), igual que lo hace ZeuS, aunque esta no es la única similitud entre ambos troyanos.

En los foros se vende como indetectable para la mayoría de antivirus, además oculta sus ficheros en el explorador y las entradas de registro que usa. SpyEye implementa muchas de las características que ofrece ZeuS, aunque todavía está en desarrollo. El paquete en el que se distribuye el troyano, también es similar al de Zbot/ZeuS así como otros kits preparados para el fraude que se distribuyen principalmente en foros de Europa del Este y Rusia.

Las técnicas empleadas en versiones anteriores de SpyEye son las siguientes:

  • Robo de formularios: todos los formularios HTTP que contienen un campo de contraseña son capturados por defecto.

  • Inyección de código: esta técnica consiste en la inyección de código HTML en el navegador de la víctima para pedir datos que, normalmente, la entidad no pediría. En las diferentes configuraciones estudiadas, la información solicitada suele ser el código de seguridad completo.

  • Robo de credenciales FTP y POP3: incluye monitorización del tráfico de red estableciendo hooks en las funciones API de filtrado y almacenamiento de autenticación, mayoritariamente vigilando el tráfico y buscando valores “USER” y “PASS”.

  • Robo de credenciales en autenticación HTTP Basic: Un enfoque similar al del robo de credenciales FTP y POP3.

En la versión analizada en este caso se incluyen además las siguientes características:

  • Capturas de pantalla: en la configuración del binario se especifican las URLs sobre las que se realizarán las capturas de pantalla y las zonas concretas que se quieren capturar, es decir, no se captura la pantalla completa si no las zonas especificadas. Un ejemplo de esta configuración podría ser:

    https://accesonline.mibanco.com/autenticate* 500 200 10 60

  • Posibilidad de realizar Man in The Browser (MitB).

Hemos podido apreciar un aumento en el número de muestras desde el pasado Septiembre, lo que nos hace pensar que la campaña empezó en ese mes:


A mediados de octubre se han detectado ya los primeros casos de fraude afectando a entidades españolas, con al menos dos muestras distintas del troyano. De las entidades que aparecen en el archivo de configuración, únicamente se observan intentos de implementación de esta técnica en una de ellas. Aun siendo totalmente operativa, la impresión es que todavía se encuentra en periodo de pruebas.

Aunque todavía estamos analizando el binario en profundidad, las funcionalidades básicas son las mismas que tenía cuando se descubrió en febrero de este mismo año. No obstante se han observado algunas mejoras en cuanto a su sistema de cifrado del archivo de configuración. La detección de las muestras es del 62% y 20% respectivamente.

La funcionalidad más preocupante y con la que está logrando perpetrar el fraude descrito, es la de inyección HTML. En este caso, la inyección es de código Javascript, lo que dota al binario de la funcionalidad MitB:

  • El troyano obtiene los datos de las cuentas y los envía al servidor C&C

  • Si el saldo de la cuenta supera una cierta cantidad, éste devuelve los datos de la cuenta a la que debe realizar la transferencia fraudulenta (mula) usando el siguiente formato:

    [
    "trans" = 1,
    "info" = [
    "check" = [
    0 = XXXX,
    1 = XXXX,
    2 = XX,
    3 = XXXXXXXXXX
    ],
    "sum" = 493,
    "name" = "Pepe",
    "address" = "C/ Del Ocho, nº1 1ºA",
    "city" = "Cantalapiedra",
    "comment" = "Transferencia"
    ]
    ]

  • El troyano rellena el formulario de transferencias con esta información y queda en espera.

  • Se le piden al usuario una serie de datos, entre ellos la clave de firma.

  • Una vez los tiene, envía el formulario para realizar la transferencia.

  • Modifica el importe de las cuentas para que la víctima no se percate del robo.

Como se puede ver, al interceptar la sesión del usuario legítimo, el fraude se perpetúa de una manera mucho más difícil de detectar para la entidad, con lo que eso conlleva.

En las pruebas realizadas, parece que usa distintas cuentas de destino para las transferencias fraudulentas. Son seleccionadas según el saldo disponible en la cuenta de la víctima y todas de entidades españolas.

En siguientes posts se detallará el funcionamiento de esta técnica.


Santiago Vicente
S21sec e-crime

6 comentarios:

enmeran dijo...

Impresionante. Estamos indefensos ante estos ataques. Pero, si no lo detecta la entidad, como se puede reclamar?

Caton dijo...

El problema es que el virus está en el ordenador del cliente, que no ha puesto las suficientes medidas de seguridad para evitar este comportaniento .
¿Por qué reclamar a la entidad bancaria?
Los usuarios de linux y Mac no tienen esos problemas.

S21sec e-crime dijo...

Gracias por los comentarios.

@enmeran: En principio es posible reclamar, pero siempre habrá una investigación por parte de la entidad para aclarar los hechos.

@Caton: En cuanto a lo de que los usuarios de Linux y Mac no tienen esos problemas, no queda tan claro. Es más una cuestión de buscar la mejor relación esfuerzo-recompensa. Ya se está explotando activamente los entornos Mac OS, aunque de momento no se ha alcanzado el nivel de sofisticación de otros entornos, pero si la cuota de mercado sigue aumentando para ellos, no tardaremos en ver malware similar.

En cualquier caso, recordad que en temas de seguridad, el eslabón más débil, es el ser humano :)

Un saludo.

fer dijo...

Los usuarios de Mac no tenemos esos problemas... me temo que por ahora. A más usuarios de Mac, más víctimas potenciales, más malware.

En mi opinión la mejor protección es siempre el sentido común. Si tu entidad siempre te pide 3 dígitos y de pronto te pide todos, malo.

BTW: "Cantalapiedra" jejeje
http://maps.google.es/maps?f=q&source=s_q&hl=es&geocode=&q=Cantalapiedra&ie=UTF8&hq=&hnear=Cantalapiedra,+Salamanca,+Castilla+y+Le%C3%B3n&z=12

Anónimo dijo...

En google ya se pueden buscar blogs hablando de koobface con más que posible afectación para Mac y Linux...

Un ejemplo en las primeras búsquedas: http://blogs.eset-la.com/laboratorio/2010/10/28/koobface-llega-a-mac-os-y-linux/

Anónimo dijo...

Los usuarios mac somos lo más mejor del mundo mundial y parte del estrangero, y nadie nos puede atacar porque no tenemos vulnerabilidades, bueno solo unas cuentas, pero como no sabemos explotarlas pues estamos seguros.

saludos.


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login