Man in the Browser (MITB). Nuevos métodos transparentes de robo bancario mediante troyanos

En el blog del “FireEye Malware Intelligence Lab” describen dos nuevos métodos de robo bancario mediante troyanos, bastante sofisticados. Ambos métodos se basan en un troyano que, tras instalarse aprovechando un fallo de seguridad del navegador o la instalación de algún software aparentemente no dañino, intercepta la comunicación entre el navegador y el banco, sin que el usuario sea consciente de este hecho.

El primer tipo de robo, llevado a cabo por el troyano Zeus/Zbot, se basa en un elaborado método que intercepta y envía a un usuario externo un código, válido durante 2 minutos, que recibe el usuario auténtico a través de un SMS la primera vez que accede desde un equipo informático a su cuenta bancaria. El troyano, en comunicación con una persona en otra ubicación remota, logra validar el equipo de esta tercera persona, momento a partir del cual puede realizar el robo bancario, mediante una transferencia a otra cuenta.

El segundo tipo de robo, llevado a cabo por el troyano URLZone, intercepta las comunicaciones que tienen lugar entre el navegador del usuario y el banco al realizar una transferencia bancaria, cambiando la cuenta bancaria destino por otra distinta, a través de la que se perpetra el robo. El usuario legítimo nunca percibe este hecho, ya que la dirección se cambia tanto en el camino de ida hacia el banco con en el camino de regreso.

Usuario legítimo                                              Troyano URLZone                             Banco
Transferencia hacia la cuenta legítima      —>    [Modificación de la solicitud]     —>     Transferencia a otra cuenta distinta
Fondos transferidos a la cuenta legítima <—     [Modificación de la respuesta]   <—      Fondos transferidos a otra cuenta


Cabe comentar que este tipo de acciones suelen ser llevadas a cabo a través de cuentas intermedias, de personas que perciben una pequeña comisión por ello, pero que la mayoría de las veces ni siquiera saben qué están haciendo.

Estamos asistiendo a nuevos métodos de obtención de información bancaria, acceso a las cuentas y robo mucho más sofisticadas que las tradicionales, como el phising, de las que la mayoría de usuarios no están a salvo, debido a la transparencia con la que actúan estos troyanos y a la facilidad de acceso a nuestro sistema, al usar exploits “0-day” o fallos de seguridad que muchos usuarios aún no tienen parcheado. No podemos considerar ningún equipo seguro. En una entrada futura trataré de bosquejar los métodos de protección ante este tipo de amenazas.

Imagen CC-by-nc-nd de Micah A. Ponce.