Dmitry
Tarakanov de Kaspersky ha descubierto un nuevo plugin para SpyEye
(una de las familias de troyanos bancarios más utilizados) que permite grabar a
través de la cámara del ordenador imágenes del usuario mientras está siendo
robado por el troyano.
Existen alrededor de 40 plugins diferentes para la rama 1.3
de SpyEye, que es la más usada en los últimos tiempos. Uno de los últimos detectados
se denomina "flashcamcontrol.dll".
Esta librería modifica los permisos de
FlashPlayer para permitir a los documentos flash descargados desde
cualquier página web, la grabación con la cámara
y el micrófono sin pedir permiso al usuario.
Una vez infectado, cuando
la víctima visita la página de su banco, descarga un fichero swf (flash)
desde un punto controlado por el atacante y se inyecta en la web legítima del banco. Este fichero comenzará la grabación, enviándola a un servidor
remoto a través del protocolo Real Time Messaging Protocol (rmpt). En realidad
el atacante se asegura de que puede grabar con la cámara con otro fichero
adicional llamado "camara_test.sfw",
que pregunta al usuario por otra cámara cuando no puede grabar a través de la
definida por defecto.
¿Por qué grabar al usuario?
Tarakanov se plantea la utilidad
de grabar al cliente mientras está siendo robado. Hoy en día, la mayoría de los
bancos piden al usuario un dato adicional de autenticación cuando realizan una
transacción, ya sea un código de una tarjeta de coordenadas o el código
devuelto en forma de SMS por el banco. Los
troyanos han solucionado este "problema"
bien modificando la página web que
la víctima "ve" en su
navegador para que requiera todas las coordenadas de la tarjeta, bien
infectando también el teléfono móvil. La última modalidad, la "transferencia ficticia" implica que
al usuario se le indica que debe hacer una transferencia de prueba usando el
código que el banco le enviará al móvil. En este esquema, es en realidad la
víctima la que está realizando una transferencia al atacante sin que lo sepa, a
través de una interfaz simulada. Por tanto, ¿qué aporta grabar al usuario
durante este proceso? Tarakanov afirma que se desea estudiar cómo reacciona el
usuario ante este esquema de ingeniería
social.
Pero en realidad todo son
suposiciones. Puede ser desde simplemente una prueba que no sirva para nada en
el futuro, o puede tratarse del primer paso hacia una estafa mucho más elaborada, donde el atacante desee obtener
información adicional sobre su víctima: sexo, edad… quizás el atacante quiera
saber el modelo del móvil de la víctima, o entorno en el que se realiza la
estafa. También es posible que, como teoriza Tarakanov, quieran estudiar las
reacciones. Con esto podrían mejorar su ingeniería social. Por ejemplo, si
muchos usuarios infectados llaman al banco tras observar la modificación "no esperada" de la página web en su
ordenador, están perdiendo una potencial "víctima". Así pueden conocer el punto débil de su esquema de
ataque. Quizás no le interese tanto al atacante la imagen como el audio…
Lo interesante es que SpyEye y
sus plugins siguen activos, desarrollándose y buscando
nuevas vías con las que eludir los avances técnicos de autenticación de la
banca electrónica. Ante la mejora de los dos
factores de autenticación, a los atacantes les queda sobre todo trabajar en
la ingeniería social, y este módulo puede que vaya encaminado hacia ese
objetivo.
Más información:
Big Brother
Sergio de los Santos
Twitter: @ssantosv
No hay comentarios:
Publicar un comentario