Encontrando agujeros en la Seguridad Bancaria: Operación Emmental

David Sancho (Senior Threat Researcher)

Al igual que el queso suizo Emmental, la forma en que sus cuentas bancarias on line están protegidas podría estar llena de agujeros. Los bancos han estado tratando de evitar que los delincuentes tengan acceso a sus cuentas en línea desde siempre. Contraseñas, PINs, tarjetas de coordenadas, TANs, tokens de sesión – todos fueron diseñados para ayudar a prevenir el fraude bancario. Recientemente hemos encontrado una operación criminal que tiene como objetivo derrotar a una de estas herramientas: tokens de sesión. Así es como lo consiguen.

Esta banda criminal intenta dar en el blanco de los bancos que utilizan los tokens de sesión enviados a través de SMS (es decir, mensajes de texto). Este es un método de autenticación de dos factores, que utiliza los teléfonos de los usuarios como canal secundario. Tratando de iniciar sesión en el site de un banco, el mismo banco debería enviar a los usuarios un SMS con un número. Los usuarios tienen que introducir ese número, junto con su usuario y contraseña habituales con el fin de realizar transacciones con la entidad bancaria. Por defecto, este es utilizado por algunos bancos en Austria, Suecia, Suiza, y otros países europeos.

Los cibercriminales spamean a los usuarios desde esos países con correos electrónicos spoofing que parecen venir de minoristas on line. Los propios usuarios hacen clic en un enlace malicioso o en un archivo adjunto e infectan sus ordenadores con malware. Hasta ahora, todo es bastante típico y desde una perspectiva de amenaza, un tanto aburrido.

Pero aquí es donde se pone interesante. Los equipos de los usuarios en realidad no se infectan, desde luego no con el malware bancario habitual. El malware sólo cambia la configuración de sus ordenadores y luego se elimina a sí mismo. ¿Qué te parece esto como infección indetectable? Los cambios son pequeños …. pero de grandes repercusiones.

Así es como funciona: la configuración de los DNS de los «ordenadores» de los usuarios se cambia para que apunte a un servidor externo controlado por ciberdelincuentes. El malware instala un certificado raíz SSL en sus sistemas para que los servidores HTTPS maliciosos confíen y no vean ninguna advertencia de seguridad.

1

Figura 1. ¿Qué sucede en el proceso de autenticación de 2 factores cuando el PC está infectado por la Operación Emmental?

Ahora, cuando los usuarios con ordenadores infectados intentan acceder a la página web del banco, se dirigen a un site malicioso que se parece al de su banco. Hasta ahora, esto es sólo un sofisticado ataque de phishing, pero estos criminales son mucho más retorcidos que eso. Una vez que los usuarios introducen sus credenciales, se les indica que instalen una aplicación en su smartphone.

Esta aplicación Android maliciosa está disfrazada de generador de tokens de sesión del banco. En realidad, interceptará mensajes SMS desde el banco y los remitirá a un servidor de comando y control (C & C) o a otro número de teléfono móvil. Esto significa que el ciberdelincuente no sólo obtiene las credenciales de banca online de las víctimas a través de la página web de phishing, sino también las sesiones de tokens necesarias para operaciones bancarias en línea. Los delincuentes terminan con un control total de las cuentas bancarias de las víctimas.

Es una gran operación de malware. Campañas de spam adaptadas al país, malware no persistente, servidores DNS maliciosos, páginas de phishing, malware para Android, servidores C & C y servidores back end. No se puede decir que estos criminales sean perezosos.

Los criminales detrás de esta operación en particular tienen como objetivo a los usuarios de Internet en Suiza, Austria y Suecia. En mayo, añadieron a los usuarios japoneses a su lista de potenciales víctimas. Hemos sido capaces de rastrear los operadores de vuelta mediante los apodos: - = FreeMan = - y Northwinds. Estos cibercriminales han estado activos desde 2011. En aquel entonces, expandían paquetes de malware como SpyEye y Hermes. En cuanto a los binarios que se desplegaron recientemente, creemos que los criminanles hacen uso de al menos dos servicios de cifrado diferentes. Uno de estos servicios está dirigido por una persona de Uzbekistán. No hemos sido capaces de identificar el otro.   

Puedes encontrar más información sobre este ataque en nuestro informe Finding Holes: Operation Emmental, que habla de esta técnica en profundidad. SWITCH.CH, el CERT de Universidades en Suiza, también realizó investigaciones sobre Emmental  y publicó sus conclusiones en su site.

Las apps modificadas y sus efectos en el escenario de las amenazas móviles

Peter Yan (Mobile Security Engineer)

Las aplicaciones modificadas,  un tipo de aplicaciones falsas, juegan un papel crucial en la proliferación de malware móvil. Al igual que las aplicaciones falsas, las aplicaciones modificadas utilizan tácticas de ingeniería social, que muestran una interfaz de usuario similar (UI), icono, nombres de los paquetes y etiquetas de aplicaciones como la versión legítima / oficial de las aplicaciones que falsea. Esto se hace para engañar a los usuarios al descargar aplicaciones falsas y, en consecuencia, generar beneficios.

Sigue leyendo

Estar seguro en el nunca antes mejor conectado Mundial de Fútbol

por Ryan Certeza

Los eventos deportivos están cada vez más conectados, y el Mundial de Brasil que acaba de concluir no podía ser una excepción. El proveedor brasileño de telecomunicaciones Oi asegura que no se han escatimado gastos en “conectar” en la Copa del Mundo, e incluso ha asegurado que el evento del año es, de hecho, de los más conectados en la historia del Mundial de Fútbol.

Sigue leyendo

Los rumores sobre el Iphone6 animan a las estafas

por Jonathan Leopando (Technical Communications)

Hace un tiempo nos dimos cuenta de que las estafas relacionadas con Apple tienden a crecer cuando aparecen en las noticias rumores sobre nuevos dispositivos. Con el esperado lanzamiento del iPhone 6 en septiembre, esperábamos ver algunos fraudes relacionados con los fugas de información sobre el producto de Apple. Y tal como esperábamos, eso es exactamente lo que ha pasado.

Las semana pasada algunos periodistas informaron de que habían recibido correos electrónicos en relación con Apple con el falso anuncio “la espera terminó” para el iPhone 6. Podemos confirmar que dichos correos electrónicos fueron enviados, porque nuestras propias fuentes consiguieron algunos:

1

Sigue leyendo

Los sitios de phishing se intensifican según se acerca el Mundial

Por TrendMicro

Con el Mundial de 2014 de Brasil tan cerca, no extraña que los sitios de phishing hayan intensificado sus campañas de spam dirigidas a los brasileños.

Algunos de estos funcionamientos spam son bastante básicos. Este, por ejemplo, intenta atraer a los usuarios con un sorteo con un premio de 5 millones de reales brasileños (algo menos de 2,2 millones de dólares).

1

1. Mensaje de phishing de lotería

Sigue leyendo