Español | English
rss facebook linkedin Twitter

MULAS



El pasado 1 de marzo pudimos ver como Europol publicaba una nota de prensa anunciando la detención de aproximadamente 700 muleros por todo el continente europeo en el pasado mes de febrero.

Este tipo de operaciones es clave, ya que afecta directamente a la monetización del fraude, y para que se produzcan es imprescindible la participación de todos: bancos, fuerzas y cuerpos de seguridad internacionales  y empresas de seguridad.

Desde S21sec llevamos años investigando el uso de cuentas mulas en el fraude bancario, en concreto una funcionalidad del malware bancario que autodenominan ATS. Estas siglas se corresponden al termino Automated Transfer System,  y su objetivo es servir de interfaz automatizado para conectar el troyano bancario con los muleros captados por el “mule herder”.

 interior de un ATS mostrando las conexiones provenientes de la Botnet



Aunque sea un tipo de ataque muy de moda en los últimos años no es ni mucho menos un ataque novedoso, ya que tenemos registros internos de su uso desde al menos el año 2011.
A grandes rasgos el proceso de fraude consta de los siguientes pasos:

1. El usuario es infectado por malware. Este proceso se produce normalmente mediante un ataque de ingeniería social recibido por correo, o durante la navegación involuntaria a una web infectada con un exploit kit.

2. El usuario infectado entra en la pagina web legitima de su banco habitual, y es engañado mediante el uso de ingeniería social.  

3. El usuario, engañado, procede a la realización de la transferencia. En ese momento el malware realiza una conexión al panel ATS, que en función de los datos del usuario selecciona un mulero entre los que tiene captados  para realizar la transacción.

4. Una vez realizada la transferencia el malware puede actuar de distintas maneras, en función de lo que haya definido el ciberdelincuente: autoeliminarse, eliminar el sistema operativo o continuar como si no hubiese pasado nada falseando los datos que puede ver el propio usuario.

En el gráfico a continuación puede observarse un esquema general del proceso.




Una de las tareas que se realizan diariamente en el departamento dentro de la investigación y análisis de botnets es comprobar si el malware asociado tiene la capacidad de realizar ataques con ATS.

Como resultados de estos análisis, durante el pasado año 2015, detectamos más de 150 cuentas mulas diferentes, preparadas para recibir las transferencias realizadas de los usuarios infectados. Las familias de malware principales que usaban estas mulas fueron: kins, tinba, xswit, pykbot, urlzone y dridex. 

Como ejemplo a continuación se puede visualizar la ubicación de los muleros utilizados por botnets tinba.



Para nosotros, es todo un reto compartir nuestro trabajo y colaborar con las fuerzas y cuerpos de seguridad del estado para intentar la neutralización y captura de todos los implicados en estos esquemas de fraude, y es por eso un orgullo ver noticias como la presentada por Europol. 

Hoy podemos estar contentos por el trabajo realizado, mañana tendremos que detectar las nuevas 700 cuentas mula que sin duda ya se están preparando.
  
S21sec



(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login