Phantom_man
NZ2
 Desconectado
Mensajes: 451
|
 |
« : 06 de ſeptiembre de 2005, 03:35:57 » |
|
Phishing basado en troyanos
Recientemente se ha detectado un troyano destinado al robo de
credenciales bancarias. Hasta aquà  nada nuevo, puesto que el malware
destinado a capturar las pulsaciones de teclado o los parámetros de
las páginas de autenticación llevan mucho tiempo entre nosotros. Si
bien en esta ocasión el troyano sólo preparaba el sistema para un
ataque a travà ©s de páginas web de phishing tradicional, lo que es
una prueba más de la à Ântima relación que guardan ambas tà ©cnicas.
Si se realiza un análisis tà ©cnico superficial, a primera vista puede
parecer un troyano como otro cualquiera, que modifica el archivo hosts
del sistema para que los dominios de las entidades bancarias apunten
a una IP determinada, y que monitoriza una serie de URLs de páginas
de autenticación para capturar las credenciales de los usuarios.
Sin embargo esa no es la estrategia del troyano, un análisis más
profundo revela que en realidad lo que hace es detectar cuando el
usuario intenta conectar con unas determinadas webs, y redirigirlo
hacia una página falsa que simula a la de la entidad, es decir,
hacia un phishing tradicional.
Si infectamos un sistema de prueba y nos fijamos en la modificación
del archivo hosts, podemos encontrar algunas irregularidade s en el
largo listado de direcciones que incluye (a continuación sólo una
pequeña porción):
(null) onlineaccounts 2.abbeynationa l.co.uk
(null) www3.aibgonlin e.co.uk
(null) www.bank.allia nce-leicester.co.uk
(null) login.ibloing. com
...
Primero que no está realizando ninguna redirección efectiva, porque
en lugar de la IP incluye (null). Pero, y lo más importante, todas
las URLs son falsas, ninguna existe en realidad. En todos los casos
se incluye una errata a conciencia (falta o se cambia alguna letra,
etc.), aunque se intenta que la URL se parezca a la original a
simple vista.
Siguiendo el análisis del troyano a nivel superficial, podemos
encontrarnos con una serie de URLs en su código. De nuevo, si nos
fijamos, ninguna de las URLs es funcional, todas incluyen erratas,
ninguna se corresponde a los formularios de autenticación legà Âtimos
de las entidades.
Esto salta a simple vista porque todas empiezan por http://, en vez
de https:// que suele ser lo usual y recomendado en el caso de los
formularios legà Âtimos. Además, como ya ocurriera con el archivo de
hosts, tambià ©n realizan pequeñas modificaciones en las URLs, y por
tanto no tendrà Âa sentido que el troyano las monitorizara para
capturar sus credenciales, que suele ser lo normal en este tipo de
troyanos.
La verdadera estrategia del gusano consiste en monitorizar la URL
del navegador del usuario para detectar cuando intenta dirigirse
a uno de los sitios web de las entidades, y redirigirlo a una web
falsa de phishing. Para ello no utiliza URLs concretas, sino que
lo hace mediante palabras claves o porciones de URL.
Por ejemplo, si el usuario intenta navegar por una dirección que
contiene "myonlineaccoun ts2.abbeynatio nal.co.uk" o
"/CentralLogonWeb/Logon", el troyano automáticamente lo redirecciona a
http://onlineaccounts2.abbeynational.co.uk/uk/ab/CentralLogonWeb/Logon
En realidad esa URL no existe, tiene una errata en el dominio, pero
funcionará porque el troyano introdujo en el archivo hosts la là Ânea
"onlineaccounts 2.abbeynationa l.co.uk" y por tanto el sistema ahora la
resuelve, la reconoce.
De esta forma el usuario verá en su navegador una dirección muy
parecida a la legà Âtima, lo que dificultará que a simple vista se de
cuenta de que está navegando por una página falsa.
Por
|
Autor