| Artículos | 01 OCT 2007

Troyanos y fraude on-line

Tags: Histórico
Ultimos avances en troyanos bancarios
Oscar Delgado.
Los caballos de Troya han recorrido un largo camino desde sus inicios a principios de la década de los 80. Con la reciente profesionalización del cibercrimen, este tipo de malware vive una segunda época dorada, pues está siendo utilizado como el vehículo perfecto para que los delincuentes perpetren sus fechorías. Además, por supuesto, los troyanos se han sofisticado muchísimo en los últimos años, hasta el punto de que en la actualidad hacen uso de todo tipo de técnicas de ocultación y autoprotección. Los troyanos están de nuevo en la ciudad y han llegado para quedarse.

Cuenta Homero cómo Ulises, el más astuto de los mortales, ideó la argucia de construir un enorme caballo de madera, donde se ocultarían más de 3.000 guerreros, para poder traspasar las murallas de Troya, que llevaba más de diez años resistiéndose a los envites del ejército griego. Tras simular éste su retirada, los troyanos abandonaron confiados su ciudad y, al encontrar el enigmático caballo, decidieron introducirlo en su interior. Ebrios como estaban, celebrando su segura victoria sobre los griegos, no opusieron mucha resistencia al selecto grupo de soldados que emergió entonces del interior del caballo.
Sin duda los griegos lo hubieran tenido mucho más fácil si, entre todo el legado de conocimiento que nos dejaron, hubiesen inventado también internet. En ese caso les habría bastado con camuflar un programa maligno en el interior de otro aparentemente inocuo y conseguir que sus enemigos lo ejecutasen en sus ordenadores. Hubiesen inventado, así, el primer caballo de Troya informático de la Historia. Por suerte o por desgracia no lo hicieron y tenemos que esperar hasta la década de los 80 para encontrar los primeros ejemplos, basados en el sistema operativo DOS. Desde entonces su complejidad se ha elevado enormemente pero, en lo esencial, su funcionamiento y comportamiento sigue siendo el mismo.
En pocas palabras, un troyano es código malicioso que aparenta ser un programa inofensivo, como un salvapantallas, un juego o, incluso, un antivirus. Una vez que este programa es ejecutado, el troyano toma el control y queda residente en la máquina, listo para llevar a cabo la tarea para la que ha sido programado. A diferencia de los gusanos, los troyanos no tienen capacidad de autorreplicación, de modo que tienen que hacer uso de la siempre efectiva picaresca o ingeniería social para propagarse.

Vectores de infección
Como es previsible, un método de propagación natural para estos troyanos son las redes de intercambio de archivos P2P, en las que no existen mecanismos de seguridad integrados. Según algunos estudios recientes, casi el 50 por ciento de los programas ejecutables que pueden encontrarse en este tipo de redes están infectados con alguna clase de malware. Para incrementar el atractivo de los binarios y conseguir que el máximo número posible de usuarios los descarguen y ejecuten, muchos de ellos suelen estar camuflados utilizando el aspecto del reclamo más viejo del mundo: el sexo.
Otro vector muy utilizado por los delincuentes es la infección vía web. Aprovechando ciertas vulnerabilidades en los navegadores pueden conseguir que un usuario, por el mero hecho de visitar un sitio web malicioso, quede infectado. El proceso comienza con el compromiso de sitios web existentes, tanto mejor cuando más conocidos y visitados sean estos. Para ello suelen utilizar herramientas automáticas, que explotan vulnerabilidades concretas, y que, en poco tiempo, pueden reunir una colección de cientos de máquinas comprometidas. Acto seguido, se instala en cada una de ellas un pequeño código, de unos pocos kilobytes, que suele conocerse con el nombre de dropper. A continuación se modifica el código fuente de la página web, a menudo sin alterar el comportamiento ni el aspecto de la misma, de forma que, cuando el usuario la visite, se explote la vulnerabilidad del navegador y se provoque la descarga y ejecución del dropper al ordenador de la víctima. A partir de ese momento, el dropper toma el control y comienza su misión, consistente en descargar el verdadero troyano. Para ello cuenta con una lista de direcciones donde, previamente, los creadores del troyano han colocado copias del mismo. Comenzará probando con la primera de ellas y, en el caso de que falle, seguirá avanzando por la lista hasta agotarla. De esta forma, los delincuentes consiguen aumentar la resistencia del sistema y que éste siga funcionando aunque las autoridades cierren uno o varios de los sitios de descarga. Sirve, incluso, para generar distintas versiones de los troyanos, con mejoras o personalizaciones, de forma que no es necesario modificar el código del sitio web comprometido para que se descarguen las nuevas versiones.
Una vez que el dropper encuentra un sitio activo comienza la descarga del troyano. Luego lo ejecuta y... ¡game over! Todo este proceso se lleva a cabo, por supuesto, sin que el usuario note que algo extraño está sucediendo. En la Figura 1 puede observarse un esquema del ciclo completo.

Troyanos y phishing
De esta forma los troyanos han ido “tirando” desde sus inicios, pues nunca fueron los más utilizados ni populares entre los creadores de malware. Sin embargo, en los últimos años, con la profesionalización del fraude on-line, han sido rescatados del sueño de los justos en el que estaban sumidos. La principal razón podemos encontrarla en que los métodos tradicionales utilizados por los phishers, como el spam masivo, la búsqueda de dominios similares y otros trucos algo burdos, han ido perdiendo eficacia paulatinamente, conforme el problema ha cobrado importancia mediática y ha llegado al gran público. Como consecuencia, los delincuentes se han visto obligados a buscar nuevos métodos para realizar fraudes. Y, en este sentido, un troyano especializado constituye su peor enemigo.
Un troyano especializado en banca electrónica captura, una vez instalado, todas las credenciales de autenticación, a saber, usuario, contraseña y la mal llamada por los bancos firma electrónica, que un cliente de este tipo de servicios utiliza cuando se conecta a la página web de su banco favorito. Después, estas credenciales son enviadas a un repositorio central, controlado por el atacante.
Los primeros pasos de este tipo de troyanos consistieron en utilizar viejas técnicas víricas, como capturar pulsaciones del teclado, en busca de palabras como “password”. Para combatirlos, los bancos comenzaron a utilizar los teclados virtuales, tan extendidos hoy en día. El siguiente movimiento de los delincuentes no se hizo esperar y consistió en dotar a los troyanos de la capacidad de tomar capturas de pantalla e, incluso, pequeñas secuencias de vídeo, como la que puede verse en la Figura 2, donde se aprecia sobre qué letra está posicionado el cursor.
El juego del ratón y el gato continuó con nuevas técnicas, algunas algo burdas, como la que trataba de ocultar la barra de direcciones del navegador con una imagen que contenía la dirección legítima del banco, en lugar de la falsa a la que el usuario estaba siendo redireccionado. Curiosamente, muchos de estos troyanos fallaban porque no tenían buena puntería: la imagen no resultaba correctamente posicionada, de forma que dejaba entrever la dirección correcta bajo la falsa, o la imagen quedaba en mitad de la pantalla, fuera del navegador, cuando se minimizaba la ventana de éste.
Ante el escaso éxito de estos intentos, pronto empezaron

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información