Phishing y malware: El caso de Bank of India

Me comenta uno de los feligreses habituales del blog, el amigo jcbarreto, que deberíamos hacer una reseña sobre el reciente caso de Bank of India. Juan Carlos ya hizo mención a este asunto en agosto, si bien este caso sucedió mientras estaba de vacaciones y no tuve ocasión de hablar de él en su momento.

Así que hoy vamos a tirar un poco de biblioteca, y vamos a ver qué pasó recientemente con Bank of India. El caso que se presenta puede que sea, probablemente, el peor escenario posible dentro de los compromisos de seguridad de una institución, y ese no es otro que empleen tu plataforma para la distribución de malware a tus propios clientes. En una esacala de riesgo reputacional, hablamos prácticamente de 10 sobre 10.

El pasado 31 de agosto, los administradores de seguridad de Bank of India tuvieron que afrontar que un iframe malicioso redirigiera el tráfico legítimo de su página a un sitio que los atacantes habían habilitado para distribuír malware desde él. Para los que no lo sepáis, un iframe es un elemento HTML que permite insertar o incrustar un documento HTML dentro de un documento HTML principal.

En este sitio malicioso se contabilizaron 31 piezas (sorry Julio :P) de malware distintas, cuya descarga a las máquinas de los usuarios afectados provocaría posteriormente la infección de una cantidad ingente de clientes de la entidad, cuyo número real no ha sido determinado. Según la información que ofrecieron algunos medios, parece que los autores del ataque no son otros que Russian Business Network, un grupo de crimen organizado especializado en el robo de credenciales. La lista completa de malware vino a ser parecida a la que sigue:

Email-Worm.Win32.Agent.l
Rootkit.Win32.Agent.dw
Rootkit.Win32.Agent.ey
Trojan-Downloader.Win32.Agent.cnh
Trojan-Downloader.Win32.Small.ddy
Trojan-Proxy.Win32.Agent.nu
Trojan-Proxy.Win32.Wopla.ag
Trojan.Win32.Agent.awz
Trojan-Proxy.Win32.Xorpix.Fam
Trojan-Downloader.Win32.Agent.ceo
Trojan-Downloader.Win32.Tibs.mt
Trojan-Downloader.Win32.Agent.boy
Trojan-Proxy.Win32.Wopla.ah
Trojan-Proxy.Win32.Wopla.ag
Rootkit.Win32.Agent.ea
Trojan.Pandex
Goldun.Fam
Backdoor.Rustock
Trojan.SpamThru
Trojan.Win32.Agent.alt
Trojan.Srizbi
Trojan.Win32.Agent.awz
Email-Worm.Win32.Agent.q
Trojan-Proxy.Win32.Agent.RRbot
Trojan-Proxy.Win32.Cimuz.G
TSPY_AGENT.AAVG (Trend Micro)
Trojan.Netview

Esos 31 elementos malware no eran ni más ni menos que troyanos, cuya misión era capturar las credenciales de los usuarios, y subir los datos robados a un servidor FTP bajo el control de los atacantes. En definitiva, malware orientado al robo de credenciales.

La síntesis del ataque puede resumirse en la presencia, en la página de Bank of India, de una serie de iframes maliciosos, tal y como hemos comentado, de modo que el visitante legítimo de la entidad era redirigido de forma transparente a los sitios maliciosos. Una vez efectuada la redirección, las páginas controladas por los atacantes intentaron (y consiguieron) infectar a los usuarios, aprovechando las vulnerabilidades existentes en los distintos productos de navegación. Una vez troyanizados, para los atacantes era «coser y cantar», y sólo tenían que recolectar las credenciales robadas alegremente en los sitios FTP dispuestos a modo de bote.

¿Y cómo pueden pasar en pleno siglo XXI estas cosas?

Es curioso comprobar como muchos medios no han comentado nada sobre cómo es posible que el código de la página de una entidad tenga incrustados esos iframes maliciosos.

Tampoco se ha oído mucho, al hilo de este caso particular, sobre cómo es posible que visitando una página maliciosa, acabes infectado con troyanos bancarios. En ambos casos se palpa en el aire la presencia de vulnerabilidades muy serias. Dejo al lector que sienta curiosidad las indagaciones sobre cómo pudieron coexistir estas dos explosivas combinaciones ;)

Hablaron del caso Bank of India:

http://www.scmagazine.com/us/news/article/734987/exploited-bank-india-website-downloads-malware/
http://www.zdnetasia.com/news/security/printfriendly.htm?AT=62031723-39000005c
http://www.theregister.co.uk/2007/09/01/bank_of_india_website_takeover/print.html
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9033999&source=rss_topic17

Un saludo y buen fin de semana,

5 comentarios sobre “Phishing y malware: El caso de Bank of India

  1. Muy bien descrito Sergio, como siempre y, desde luego, gracias por atender esta petición :-)

    Dos comentarios:

    (A) Malware, objetivos:

    Recuerdo haber leído que uno de los comportamientos observados entre la lista de 31 piezas de malware, una vez operando en el PC del cliente… era la de… [agarraos al asiento]…

    ¡¡ SUBIR los archivos de la carpeta de *cuarentena* del antivirus del usuario a los servidores rusos !!

    =:o What a hell (con perdón)

    A meditar profundamente… para qué. Cada uno que haga sus cábalas. Si me pongo a contar las mías, no acabaría este comentario.

    La diferencia de «conocimiento» y «motivación» entre delincuentes organizados y usuarios finales es … abismal, insalvable: la concienciación al usuario apenas puede surtir efecto -estadísticamente- para mitigar estos ataques. Las soluciones van por otra vía .

    (B) Exploits, detección:

    ¿Cómo explicar al cidadano de a pié la diferencia entre ‘exploit’ y ‘malware’? El exploit es la «ganzúa» para abrirte la puerta; el malware es el ladrón que te entra en la casa.

    Mencionar que hay productos nuevos que se estan orientando a la detección en tiempo real de esos predecesores: los exploits. Y los antivirus / suites modernas están incorporando estas funcionalidades, aunque en general, van muy retrasados.

    El usuario común está muy lejos de entender esto; ¿por qué se va a preocupar entonces de mantener actualizado su S.O. (parchear vulnerabilidades) ?

    Simplemente trato de imaginar cómo proteger a la «sociedad» (en la postura hipotética del Estado, o la de un Banco para proteger a sus clientes) y no a los expertos que ya sabrán protegerse (con excepciones, claro :-)

    Internet = nuevo ecosistema = nuevos procesos de selección «natural»

    Saludos a todos!

  2. jcbarreto, creo yo que el objetivo de subir malware en sus FTPs no fue otro que el espionaje «empresarial», por llamarlo de alguna forma. Nada mas analizar y experimentar con otros malwares de la competencia para ver «en que andan», cuales son sus objetivos (entidades), que comportamiento tienen sus aplicaciones, me parece a mi que no ha sido mas que eso, tratar de extraer algun dato util para su proxima generacion de software malicioso.

  3. Martin:

    Comparto el punto de vista; y me gusta esa expresión: espionaje «empresarial»… en el lado del mal ;-) No se me ocurre una expresión más acertada.

    Imagino que esa técnica de obtención de ejemplares ya es práctica habitual de algunas organizaciones, cuando infectan sitios webs [legítimos] en distintas partes del planeta. Por un momento he pensado que habían metido la pata al usarla [y por tanto revelarla] en este ataque tan directo a un banco, pero me doy cuenta que… les da lo mismo, impunidad total.

    Reflexión de un amigo:
    Primero fueron los tiempos del «salvaje oeste»; pasaron años… y décadas hasta que se puso orden.
    Segundo fueron los tiempos de la «mafia»; pasaron años… y décadas hasta que se puso orden.
    Ahora son tiempos de «ciber-delincuencia»; y pasarán años… y décadas hasta que se ponga orden.

    ¿Quién tiene una bola de cristal con varios años «vista» ? (espero no estar violando una marca registrada ;-) )

  4. Buenas,

    Comparto el punto de vista de Martin. El crimen organizado no sólo vive de cometer delitos, sino de estar a la vanguardia. El benchmarking entre grupos, las batallas campales entre grupos y en definitiva, la competencia entre grupos está más que a la orden del día.

    El crimen organizado es empresa, y como tal se comporta.

    jcbarreto,

    Ojalá tuviéramos esa bola de cristal. Sería la única forma de adelantarse siempre a los «malos», los cuales, salvo raras excepciones, van por delante en la lucha.

    Gracias a ambos por vuestras aportaciones :)

  5. Pingback: elnewsosite

Comentarios cerrados.