Noticias • Spam

Ciber criminales aprovechan la crisis financiera

Los investigadores de Trend Micro detectaron un ataque de spam relativamente simple que puede haber tenido credibilidad debido a los desafortunados acontecimientos de Wall Street.

Santiago.- Trend Micro, Incorporated anunció que las noticias sobre la crisis de los créditos hipotecarios de Lehman Brothers avivaron las preocupaciones sobre la suerte de otras grandes instituciones de inversión. Después de todo, Lehman Brothers representaba mucho de lo que era sólido y confiable en la industria financiera después de 158 años de operación. Si bien son válidas, estas preocupaciones resultaron ser la ruina para los millones de usuarios de la banca en línea que recibieron un reciente ataque de spam.

El 12 de septiembre, los investigadores de Trend Micro descubrieron un esquema de phishing espía dirigido a Wachovia Bank. Este ataque generó la descarga de un keylogger, junto con un rootkit que ayudaba a ocultar todas las actividades relacionadas del keylogger. Aparentemente aleatorio, este ataque de spam resultó ser sólo uno de una serie de ataques dirigidos que comenzaron con un spam del Bank of America el 9 de septiembre de 2008. Los investigadores vieron la misma cadena de infección en un spam de Merrill Lynch a finales de septiembre.

El mensaje de spam hacía que los clientes en línea de Wachovia Bank instalaran manualmente el “Wachovia Security Plus Certificate” para tener acceso seguro a los nuevos servicios en línea. Al dar clic en el enlace se descargaba un archivo, el cual el usuario podía ejecutar o guardar según lo prefiriera. Por supuesto, ejecutar el archivo no le daba al usuario un acceso seguro a nada. Por el contrario, descargaba un archivo detectado por Trend Micro como TROJ_AGENT.AINZ.

TROJ_AGENT.AINZ realizaba las siguientes rutinas durante la ejecución:

1. Descargaba dos ejecutables (también identificados como TROJ_AGENT.AINZ) y los ejecutaba.

2. Instalaba un ejecutable (también TROJ_AGENT.AINZ) y un archivo de sistemas (TROJ_ROOTKIT.FX, un componente de rootkit).

3. Creaba y modificaba las entradas del registro para ejecutar automáticamente los archivos descargados e instalados.

4. Borraba las cookies de las sesiones del navegador.

Juntos, los archivos descargados detectados como TROJ_AGENT.AINZ registraban las secuencias de teclas hechas por el usuario cuando capturaba información en los cuadros dentro del navegador Internet. La rutina de eliminación de cookies obligaban a los usuarios a capturar los datos nuevamente (incluso después de activar la función “Recordar Contraseña”. TROJ_AGENT.AINZ entonces enviaba la información recopilada a un sitio en Alemania a través de un post HTTP.

Los autores detrás de este ataque crearon un rootkit (TROJ_ROOTKIT.FX) para asegurar que la rutina de robo de información precediera completamente sin que el usuario lo supiera. Este rootkit, como la mayoría de los rootkits, oculta los procesos, por lo que ver procesos a través del Administrador de Tareas o incluso el Explorador de Procesos (una herramienta avanzada de visualización de procesos de las PCs) no revela la ejecución de rutinas maliciosas. También oculta archivos tal como cambiar la configuración de las “Opciones de Carpeta…” de Windows Explorer para mostrar todos los archivos lo cual no revela los archivos maliciosos. Los rootkits realizan la mayoría de estos cambios del sistema al manipular el registro del sistema – y después ocultar también estas entradas del registro modificadas. Estas capacidades hacen a los rootkits un componente del código malicioso atractivo para las amenazas Web.

Poco después del spam de Wachovia, los investigadores encontraron otro ataque de spam, esta vez suplantando a Merrill LYnch. Utilizaba la misma táctica de ingeniería social de aprovechar las preocupaciones de seguridad. Este ataque utiliza un backdoor (BKDR_AGENT.AWAF) en lugar de un keylogger, pero emplea la misma variante del rookit (TROJ_ROOTKIT.FX) para ocultar el backdoor. El backdoor se conecta a una dirección IP en Malasia para enviar y recibir información. El uso de rookits aumenta el daño potencial de estos ataques ya que permite que las rutinas maliciosas se ejecutan sin ser advertidas durante largos periodos de tiempo.

Riesgos de los Usuarios y Exposición

Este ataque de spam utiliza una treta de ingeniería social que juega con las preocupaciones de los consumidores respecto a la seguridad de las transacciones bancarias en línea. Asimismo, el URL del enlace del spam parece legítimo, lo que aumenta la credibilidad del ataque.

Los usuarios que no tienen la protección de Trend Micro corren el peligro que los ciber criminales roben sus identidades en línea. Los clientes de la banca en línea también pueden perder sus activos financieros ya que la información robada puede utilizarse para tener acceso a sus cuentas y realizar transacciones sin su conocimiento o consentimiento. Los rootkits no detectados también hacen vulnerable el sistema a otras actividades criminales después de la infección inicial ya que encubren las actividades de código malicioso relacionado como la actualización local de los archivos existentes, la instalación de componentes y la modificación de la configuración del sistema.

Soluciones y Recomendaciones de Trend Micro

Trand Micro Smart Protection network ofrece seguridad que es más inteligente que los métodos convencionales. Bloquea las amenazas más recientes antes de que lo ataquen. Utilizando las soluciones y servicios de Trend Micro, la Smart Protection Network combina tecnologías en la nube únicas y una arquitectura de clientes ligera para proteger de forma inmediata y automática su información dondequiera que se conecte.

La Smart Protection Network también brinda otra capa de defensa a través de la tecnología Web Reputation, que identifica sitios Web maliciosos o peligrosos y bloquea el acceso de los usuarios de acuerdo con los niveles de reputación de los dominios. La tecnología File Reputation evalúa la integridad de todos los archivos descargados a las computadoras. Detecta y elimina TROJ_AGENT.AINZ, BKDR_AGENT.AWAF, TROJ_ROOTKIT.FX y otras amenazas peligrosas. La tecnología de correlación en la nube con análisis de comportamiento encuentra asociaciones entre combinaciones de actividades de amenazas para determinar si son parte de un ataque malicioso general.

Fuente: La Segunda Online