Etiqueta: troyanos

Sofisticado Troyano bancario de última generación

Atención!. Mucha atención, porque esta entrada debe ser leída detenidamente, ya que puede significar que usted logre salvar su dinero de la delincuencia organizada. Es un troyano que se instala en su ordenador, se ha detectado en Alemania, y se cuela incluso a través de la navegación de una web legítimas, y que le puede “robar” de forma invisible su dinero. Se detalla el procedimiento que utilizan (que es muy similar en todos los casos, engañando al propietario de una “cuenta mula” para trasladar el dinero a su cuenta y luego a otras cuentas para intentar perder el rastro) y poder hacer efectivo el robo y cómo poder evitarlo. Ponga mucha atención!.

Trend Micro alerta de las consecuencias reales que está provocando un troyano bancario de última generación conocido como Bebloh o URLZone.

Bebloh es un troyano que se propaga a través de lo que se denomina "drive-by-download techniques" (técnicas de descarga), pudiendo ser capaz, incluso, de infiltrarse en las páginas web legítimas y esconder en ellas trampas insólitas. Los usuarios incautos que utilizan navegadores que no están parcheados u otro software que no esté debidamente actualizado, son infectados con tan sólo visitar dichas páginas.

Rik Ferguson, Analista de Seguridad de Trend Micro, ha estado investigando este troyano y expone a continuación el caso de un usuario de banca online que ha sido víctima de este ataque, en el que una suma importante de dinero ha sido transferida desde su cuenta bancaria a otra de un desconocido situada a cientos de kilómetros.

El usuario afectado se conectó a su banco para realizar unas operaciones desde su domicilio y todo parecía ir con normalidad hasta que al día siguiente comprobó que una de las transferencias no llegó a su destino. Revisando su cuenta desde el PC de su puesto de trabajo se sorprendió al descubrir la existencia de una transferencia "invisible" de 5.000 euros.

Acto seguido, comunicó el incidente al banco y a la policía. La entidad bancaria cerró su servicio online y comenzó el rastreo del dinero, mientras desde Trend Micro se trabajaba para averiguar qué tipo de malware tenía el usuario en el ordenador de su casa y desde el cual había realizado las operaciones.

Es posible que algunas personas hayan visto publicados informes recientes que hacen referencia a un troyano bancario de "última generación" conocido como Bebloh o URLZone, que es responsable del robo del suficiente dinero como para mantenerse dentro de la cantidad de descubierto posible de las cuentas, ayudando a garantizar el éxito de la transferencia.

El día en que este suceso fue comunicado, una persona en Alemania informó sobre otro incidente. Una mujer había conocido a unas personas en una sala de chats rusa que le ofrecieron 500 euros si realizaba una transferencia. Parte de la cantidad iría a una cuenta en Turquía y el resto a una cuenta en Rusia. El titular de la "cuenta mula" o señuelo era el hijo de esta señora (ella facilitó a los delincuentes de Rusia los detalles de la cuenta de su hijo "porque él todavía tenía cierto margen de descubierto"). Al día siguiente esta persona recibió varias llamadas pidiéndole que enviara el dinero y, dado que ella había dado los datos de su hijo, tenía que acompañarle al banco.

Ambos incidentes estaban relacionados. Cuando llegaron a la entidad, la víctima ya había denunciado el robo, por lo que el banco rechazó cualquier operación para enviar el dinero desde esta "cuenta mula". Incluso estando en el banco, esta mujer seguía recibiendo llamadas. Tan pronto como desde el entidad informaron a las "mulas" que el fraude había sido denunciado y ella transmitió el mensaje a los criminales, las llamadas cesaron. Acto seguido la persona que actuaba como "mula" o cebo denunció a la policía el incidente y su acercamiento a la delincuencia organizada. La víctima de la estafa, por su parte, no puede acceder a su dinero en efectivo hasta que se completen las investigaciones.

La forma de trabajar de Bebloh

Una vez instalado en un equipo, el troyano se conecta a un servidor de control de mando para recibir instrucciones del tipo cuánto dinero robar a la víctima y dónde enviarlo. El troyano es lo suficientemente sofisticado como para ser capaz de determinar con exactitud cuánto dinero se puede extraer de una cuenta sin que se rechace la orden y ocultar que estas transferencias han sido realizadas, es decir, son "invisibles" para la víctima.

Los fondos robados son transferidos a las "cuentas mula", donde los voluntarios han aceptado "procesar los pagos" a cambio de un porcentaje o una pequeña recompensa. Un informe detallado sobre el malware se encuentra disponible en RSA FraudAction Research Labs y en el blog de malware TrendLabs.

Este malware ha aparecido en Alemania, país que durante mucho tiempo ha tenido muy buena reputación en cuanto a la seguridad de la banca online, tal y como aseguraba Rik Ferguson en el blog de Trend Micro en ocasiones anteriores. Alemania utiliza un sistema de números de autenticación de transacción (TAN) para validar los movimientos de dinero. Para evitar este sistema, Bebloh opera dentro del navegador web secuestrando sesiones autentificadas, hasta el punto de falsificar el balance que se muestra al usuario para ocultar todo rastro de sus actividades maliciosas. Se estima que esto genera unas ganancias diarias de unos 12.500 euros.

Ricardo González Darkin
Consultor / Técnico Informático
Certified IT Administrator EUCIP

NOGALNOVA S.L
Barcelona, España
http://www.pcnova.es

FUENTE: LAFLECHA.NET. Alerta por el ataque de un sofisticado troyano bancario . 20 Nov 2009 | HISPASEC.COM

Recomendaciones para no transformarse en una víctima de Malware, troyanos, virus, etc.

CUIDADO CON EL MALWARE QUE BUSCA ROBAR DATOS BANCARIOS!!!!!. Este post nos muestra, de acuerdo con el último  informe emitido por Panda Labs, que este tipo  de troyano ha aumentado nada más y nada menos que un 600% este año, si lo comparamos con el mismo período del año 2008. Ya hemos  comentado la cifra de 37.000 amenazas que surgen “diariamente”, y de estos …”el 71% son troyanos, en su mayoría los llamados bancarios o encaminados a conseguir datos de tarjetas de crédito o contraseeñas de servicios de banca online, de tiendas, etc…” Por qué, dadas las actuales condiciones económicas, cada vez es más negocio robar esta información y venderla en internet, obviamente para sacar provecho financiero con esta información.

Otro elemento muy importante de este informe, es que si bien antes este tipo de ataques venía por el correo electrónico y ahora, dada su difusión, se estan usando las redes sociales para llegar a muchos más usuarios con este tipo de infecciones (lo estoy viviendo a través de mis propios clientes, que cada vez se infectan más a través de estas redes sociales).

Según datos registrados por PandaLabs, el número de usuarios afectados por todo tipo de malware encaminado al robo de identidad ha aumentado un 600%, comparado con el mismo período del año 2008. En su mayoría, son troyanos, pero también encontramos numerosos ejemplares de phishing, gusanos, spyware, etc.
Según Luis Corrons, Director Técnico de PandaLabs, “quizá uno de los motivos de este aumento es la crisis económica, junto al gran negocio que supone el vender en el mercado negro datos personales de usuarios, como números de tarjetas de crédito, cuentas de paypal o eBay, etc. Además, hemos notado un gran aumento de los vectores de distribución e infección de este tipo de malware, como las redes sociales.”
A modo de ejemplo, en PandaLabs se reciben diariamente unos 37.000 ejemplares de nuevos virus, gusanos, troyanos y otro tipo de amenazas de Internet. De éstos, el 71% son troyanos, en su mayoría los llamados bancarios o encaminados a conseguir datos de tarjetas de crédito o contraseñas de servicios de banca online, de tiendas, etc. O, lo que es lo mismo, PandaLabs ha recibido de enero a julio de 2009 11 millones nuevos de amenazas, de las cuales casi 8 millones son ejemplares únicos de troyanos. Esta cantidad contrasta claramente con la media de 51% de troyanos nuevos que recibíamos en PandaLabs en el año 2007, por ejemplo.
Además, los hackers han buscado tanto fuentes alternativas de financiación como modos de difusión novedosos. Por ejemplo, cuando antes el malware enfocado al robo de identidad iba dirigido casi exclusivamente a llevar a los usuarios a introducir su login y password en su banco online, ahora intentan engañar a sus víctimas llevándoles a cualquier plataforma o sitio online donde o pueden tener sus datos bancarios almacenados o pueden introducirlos en algún momento.
Este es el caso de grandes crecimientos en ataques phishing especialmente dirigidos a plataformas de pago (tipo Paypal), donde los usuarios suelen tener almacenados sus datos bancarios; tiendas online populares (como Amazon); sitios de subastas online (como eBay), e incluso portales de ONGs donde se solicitan donaciones para proyectos de carácter humanitarios.
Y así como antes el correo electrónico era casi en exclusiva el método para llegar a sus víctimas, ahora utilizan otros métodos igual o más efectivos, como:
– Distribución de mensajes a través de redes sociales con URLs falsas, como Twitter o Facebook
– Clonación de páginas web consiguiendo que aparezcan en los primeros resultados de búsqueda por palabras clave en los motores más populares
– Envío de mensajes SMS a teléfonos móviles
– Infectando el ordenador con spyware que enseñan a los usuarios mensajes alarmantes buscando llevarles a webs falsas (como es el caso de los falsos antivirus)
El uso de mensajes usando ganchos sociales y populares es el toque de gracia que finalmente aplican a sus creaciones para conseguir que los usuarios piquen.
Una vez que se hacen con los datos de tarjetas de crédito o bancarias, pueden realizar dos acciones: bien realizar compras con la numeración, sin que el usuario sea consciente hasta que le llega el cargo al banco; o bien vender en el mercado negro dicha numeración a un precio más que razonable.
¿Qué pueden hacer los usuarios para no convertirse en víctimas?
Calculamos que aproximadamente un 3% de los usuarios son víctimas de este tipo de ejemplares. El problema con este tipo de amenazas, a diferencia de virus más tradicionales del pasado, es que están diseñadas para pasar desapercibidas, por lo que es difícil que el usuario sea consciente que está siendo víctima hasta que es demasiado tarde.
Pero sí podemos aplicar unas cuantas técnicas básicas de prevención que nos ayuden a estar más alertas.
1. Es bastante improbable que bancos online, plataformas de pago o comunidades nos reclamen nuestro usuario y contraseña por algún método (correo electrónico, mensajes a través de redes sociales, etc.), y menos que nos soliciten nuestros datos de tarjeta de crédito
2. Si se necesita acceder al banco online, a una tienda, etc., hacerlo siempre escribiendo la dirección directamente en el navegador. No es recomendable entrar a estos sitios a través de links recibidos por cualquier vía ni por resultados ofrecidos por motores de búsqueda
3. Aunque hayamos escrito la dirección en el navegador, comprobemos siempre que la URL es la que hemos introducido y no se ha convertido en otra dirección extraña al darle al enter
4. Comprobemos que la página contiene los certificados de seguridad adecuados (se muestra generalmente con un candado cerrado en el navegador)
5. Por supuesto, contar con una buena solución de seguridad instalada en el ordenador es crucial para, en el caso de que estemos entrando en una página falsa, nuestro software pueda detectarla. No está de más contar con una segunda opinión para asegurarnos que no tenemos troyanos ni nada por el estilo. Para ello, se puede utilizar cualquier aplicación gratuita online, como Panda ActiveScan.
6. Sobre todo, muy importante, si tenemos cualquier duda, antes de introducir cualquier dato, póngase en contacto con el banco, la tienda o el proveedor al que queramos acceder. Prácticamente todos ellos cuentan con servicio telefónico de atención al cliente
7. Y si suele ser de las personas que utilizan frecuentemente servicios online para compras, bancos, etc., no está de más contratar un seguro de compras online, para estar cubierto en caso de estafa.

Fuente: ITSITIO. Redacción. Autor: Pamela Stupia. 24-08-2009.

Sigan estas y otras recomendaciones que hemos dado ya en este blog (Ver artículo 10 consejos para comprar por Internet) y no bajen la guardia, para que no resulten víctimas de estos ataques.

Ricardo González Darkin
Consultor / Técnico Informático
Certified IT Administrator EUCIP

NOGALNOVA S.L
Barcelona, España
http://www.pcnova.es