Los entresijos del negocio del robo de contraseñas: los autores y los métodos empleados en el robo de identidades

Transcripción

1 Informe de investigación Los entresijos del negocio del robo de contraseñas: los autores y los métodos empleados en el robo de identidades Dennis Elser y Micha Pekrul, McAfee Avert Labs

2 Contenido Prevalencia y canales de distribución 3 El gato y el ratón: los sistemas bancarios evolucionan y los agresores no le van a la zaga 5 Sinowal y StealthMBR: el ladrón de contraseñas más dañino y el rootkit más sigiloso 7 El último giro de Sinowal 8 Basta una infección para vencer a su sistema inmunológico 10 Zbot: la siguiente generación de keyloggers 11 Steam Stealer y el mercado negro de credenciales de juegos 13 Conclusión: los ciberdelincuentes sacan partido de la crisis económica 15 Reconocimientos 17 Acerca de los autores 17

3 Hoy en día, cuando la mayoría de las compras y transacciones bancarias se realizan online, el robo de contraseñas se ha convertido en un ciberdelito común. Sea cual sea el vector de ataque utilizado, con frecuencia toda clase de malware de robo de de contraseñas consigue llegar hasta los ordenadores de las víctimas. Las organizaciones de delincuentes responsables de la circulación del software malicioso suelen operar desde países como Rusia, China o Brasil, y su único interés es obtener credenciales de usuarios que posteriormente convertirán en dinero contante y sonante. En momentos en los que soplan aires de incertidumbre económica, el valor de las credenciales robadas es mayor que nunca, por lo que proteger su intimidad y su identidad es ahora primordial. Este informe destaca las técnicas de ataque que emplean actualmente las familias de malware de robo de contraseñas más avanzadas y extendidas, explica los trucos del oficio (como las capturas de teclados en pantalla) empleados contra los últimos mecanismos de seguridad de los bancos y analiza detenidamente un nuevo objetivo de los ladrones de contraseñas: los juegos de rol online multijugador, conocidos como MMORPG (massive multiplayer online role-playing games). Prevalencia y canales de distribución Los laboratorios McAfee Avert Labs han observado un aumento del número de variantes de malware de robo de contraseñas de casi un 400% entre 2007 y Ladrones de contraseñas y keyloggers (datos acumulados) Figura 1: Crecimiento del malware de robo de contraseñas. (A menos que se indique lo contrario, la fuente de todos los gráficos es McAfee Avert Labs.) Si bien antes se observaban menos infecciones de ladrones de contraseñas dirigidas a juegos, en 2006 y 2007 se advierte un incremento también en esta categoría. 1 Durante dicho período, hemos asistido al florecimiento de las economías sumergidas en torno al comercio de bienes virtuales relacionados con los juegos, como espadas, cascos o puntos de destreza. Estos artículos se venden posteriormente a otros jugadores que desean mejorar sus habilidades y puntuaciones sin tener que pasar horas y horas jugando, y se convierten así en dinero real. Lo que se conoce como gold farming, o la acumulación de artículos de valor virtual para su posterior reventa, es ya una forma de ganarse la vida en algunos países; por ejemplo, en China, miles de personas intentan hacerse con todo el valor virtual posible, para después venderlo a jugadores más prósperos de otras partes del mundo. 1. Dr. Igor Muttik, Securing Virtual Worlds Against Real Attacks The challenges of online game development (Cómo proteger al mundo virtual de los ataques reales: los retos del desarrollo de juegos online), McAfee Avert Labs. 3

4 Gozi Sinowal Zbot Silentbanker Pinch SteamStealer Goldun WoW LegMlr Figura 2: Países de destino de identidades robadas, por familia de malware. Los usuarios se enfrentan a distintas modalidades de robo de datos y no todas implican el uso de malware. Por ejemplo, una forma de robo virtual es el phishing. Comparte los mismos objetivos (obtener las credenciales de la víctima), pero prescinde del uso de código malicioso. El ataque depende exclusivamente de las técnicas de ingeniería social para conseguir que el usuario desprevenido desembuche las contraseñas. Los sitios Web falsos que llevan a cabo ataques de phishing pueden tener una apariencia totalmente real. Figura 3: Este sitio de phishing solicita todos los números de autenticación de transacciones (TAN, Transaction Authentication Number) no utilizados y el índice para que los agresores puedan superar las barreras de los avanzados sistemas itan. 4

5 El spam es uno de los principales métodos de distribución empleados para distribuir ladrones de contraseñas. A través de mensajes que se envían de forma masiva, como facturas o notificaciones de servicios de mensajería falsas, se engaña a los usuarios para que abran PDF adjuntos supuestamente legítimos y, de esta forma, ejecuten archivos que ponen en peligro sus sistemas. El tema del mensaje de correo spam suele adaptarse al público al que va destinado, según las tendencias, noticias de actualidad o temas de interés en los países a los que se dirige. Figura 4: Un mensaje de spam típico que lleva incorporado el malware Zbot. Además del phishing, el spam y otros trucos habituales de ingeniería social, otro medio de infectar los ordenadores de los usuarios que gana popularidad y eficacia son los ataques basados en el navegador. 2 Mediante las denominadas infecciones conducidas, los agresores dejan que sitios Web legítimos y de confianza distribuyan código malicioso, pirateando miles de sitios Web de forma automática. Los hackers llegan incluso a utilizar los motores de búsqueda para descubrir sitios Web potencialmente vulnerables. Normalmente, se inyecta una secuencia de comandos o un elemento iframe para dirigir a la víctima al código malicioso, que puede estar en el servidor personal del agresor o directamente alojado en el sitio Web que ha sufrido el ataque. Los usuarios que visitan estos sitios Web acaban solicitando y ejecutando el código malicioso sin tener conocimiento de ello. El gato y el ratón: los sistemas bancarios evolucionan y los agresores no le van a la zaga La evolución del malware de robo de contraseñas está estrechamente ligada a los avances en dispositivos y medidas de seguridad. Hasta los registradores de pulsaciones más sencillos pueden superar fácilmente los factores de autenticación básicos que dependen exclusivamente de una combinación de nombre de usuario y contraseña. Sin embargo, en cuanto se mejoran los mecanismos de seguridad; por ejemplo, mediante la introducción de factores de autenticación externos, estos registradores de pulsaciones (o keyloggers ) pierden su efectividad. Uno de estos factores adicionales podría ser el uso de una palabra secreta. Los sistemas de banca online solicitan al usuario únicamente partes de esa palabra predefinida que un troyano de registro de pulsaciones nunca podrá descubrir completamente, por su propio carácter. Actualmente, los agresores se enfrentan a sistemas protegidos por sistemas de autenticación basados en varios factores. Ampliamente utilizada en Europa, este tipo de autenticación multifactor emplea números de autenticación de transacciones (TAN). Se trata de enormes listas de contraseñas de un solo uso, proporcionadas por el banco, para las que el usuario debe elegir un TAN para la autenticación de cada transacción. El paso siguiente para mejorar la seguridad son los TAN indexados (itan) que son números TAN asociados a un número indexado. El sistema de banca online determina un índice elegido al azar (que pertenece a un determinado TAN) por transacción. Figura 5: Token de autenticación con contraseña de un solo uso de Blizzard. (Fuente: Blizzard Entertainment) 2. Christoph Alme, Navegadores Web: una plataforma emergente que es víctima de ataques, McAfee Avert Labs. 5

6 Otros sistemas de autenticación robusta o multifactor son los dispositivos criptográficos que crean contraseñas de un solo uso válidas durante un minuto. Estos tokens de seguridad se usan con frecuencia en redes corporativas. Incluso Blizzard, el creador del famoso juego oline World of Warcraft, introdujo tokens de seguridad para autenticación. 3 Los sistemas de seguridad modernos incluyen generadores de números TAN basados en hardware que requieren también la tarjeta bancaria del usuario, así como que se realicen correctamente los procedimientos de desafío-respuesta. Sin embargo, para cada nuevo obstáculo, hay una respuesta por parte de los ladrones de contraseñas. Por ejemplo, en cuanto los bancos introdujeron los teclados virtuales para que, en lugar de teclear los dígitos correspondientes, el usuario hiciera clic sobre ellos, los autores de malware reaccionaron e implementaron la funcionalidad de captura de pantalla. Otra técnica habitual es la inyección Web: el malware incluye campos adicionales en los formularios de las páginas Web del banco y solicita al usuario más información, como números PIN (los que se utilizan en los cajeros automáticos), una palabra secreta completa o su número de DNI. Para el usuario, es muy difícil detectar estos elementos inyectados, ya que aparentemente son legítimos y no despiertan sospechas. Así que, no nos sorprende ver cómo los autores de malware no sólo intentan mantener el paso, sino que incluso se adelantan a los mecanismos de protección. Para evitar tener que adaptar sus formatos de captación de contraseñas según las medidas y configuraciones de seguridad de los sitios Web de los bancos que atacan, redirigen los servidores DNS o archivos host a sus propios servidores. Un usuario infectado que trate de conectarse al sitio Web del Bank of America podría acabar en un sitio con una apariencia similar, alojado en un servidor diferente, que, naturalmente, pertenece al agresor. Otro caso diferente en el que se aplica el secuestro de DNS consiste en actuar como intermediario de forma remota, interceptando el tráfico de la red y redirigiéndolo (modificado) al destino real, y viceversa. Figura 6: En el mercado negro de malware se venden inyecciones Web que se adaptan según el formato del sitio Web víctima del ataque. Los secuestros que se llevan a cabo de forma local no necesitan utilizar un protocolo determinado, como DNS. Cada vez que se usan números TAN impredecibles, el malware que acecha a los sistemas infectados espera hasta que el usuario introduce sus credenciales y las detecta. Y como estas contraseñas son de un solo uso, el malware es el primero en guardar el TAN y, sin permitir que llegue al banco de destino, muestra un mensaje de error falso con un TAN equivocado. Esto se puede llevar a cabo de forma pasiva, interceptando las conexiones establecidas y sobrescribiendo el número de autenticación con un código basura, o bien de forma activa, mostrando al usuario un mensaje emergente falso creado para la ocasión. Más adelante hablaremos nuevamente sobre este tipo de troyanos ladrones de contraseñas

7 Sinowal y StealthMBR: el ladrón de contraseñas más dañino y el rootkit más sigiloso Sinowal es un troyano ladrón de contraseñas muy extendido que consigue acceder a los sistemas junto a uno de los rootkits más sofisticados y más sigilosos que existen hoy día: StealthMBR, también conocido como Mebroot. El rootkit StealthMBR infecta el registro de arranque maestro del disco duro para hacerse con el control del sistema antes de que se inicie el sistema operativo. A continuación, se fija firmemente en las estructuras internas de Microsoft Windows. Cada vez que se reinicia el sistema, el rootkit descarga otros componentes de robo de contraseñas y, en lugar de guardarlos en el disco duro, deja que el troyano se inyecte directamente en cualquier proceso en ejecución que utilice la función API SetWindowsHookEx() de Windows. Además de los mecanismos para evitar la detección del rootkit, el troyano descargado emplea otros que le permiten pasar inadvertido. Aparte de utilizar cadenas cifradas con XOR, como nombres de hosts, las primeras variantes de Sinowal detectan los entornos de pruebas (o sandboxes ) y no producen daños si sospechan que están siendo observadas. Sin embargo, en sistemas informáticos reales, se produce un desvío desde determinadas funciones API de Windows a funciones personalizadas que pertenecen al código del troyano. La intención del agresor es que el troyano se apodere de los datos confidenciales que procesan dichas funciones. La técnica de enganche a API (o interceptación de API), tal y como la implementa el troyano, inserta instrucciones de salto en el código del sistema operativo, que era legítimo hasta el momento, (como muestra la Figura 7) con el fin de desviar el flujo de control al código malicioso antes de que se ejecute el código legítimo. Figura 7: Desvío desde la API connect() de la biblioteca ws2_32 al código de Sinowal. El software de seguridad puede detectar (y eliminar) estos tipos de interceptaciones de API comprobando si en el código de la biblioteca en memoria hay algún desvío y cuáles serían los destinos. Esta es también la técnica que emplea Sinowal, en interés propio, para sortear las interceptaciones de API que incluye el software de seguridad, como cortafuegos personales o sistemas de prevención de intrusiones en host (HIPS). Una vez que Sinowal detecta una función API interceptada, intenta descodificar las instrucciones de saltos y llamadas para localizar la dirección real de la API, de forma que no se active el código de seguridad y el usuario no reciba ningún aviso del comportamiento sospechoso del malware. Figura 8: Sitio de referencia (Referrer) definido por el navegador tal y como aparece en la API HttpSendRequestA(). No es de extrañar que las funciones desviadas sean precisamente las que más utilizan las aplicaciones que se comunican a través de Internet. Una vez que el troyano está activo, supervisa los navegadores Web, el correo electrónico y los clientes FTP, así como cualquier otra aplicación que utilice las funciones exportadas por ws2_32.dll, wininet.dll, nspr4.dll (Firefox), crypt32.dll y advapi32.dll para el procesamiento de cualquier tipo de información confidencial. La API HttpSendRequestA() es un ejemplo de función que Sinowal intercepta si se ejecuta en el contexto de Internet Explorer. Antes de permitir que el flujo de ejecución de código llegue a su destino (la wininet::httpsendrequesta original), el desvío toma el control. A continuación, analiza el argumento lpszheaders de la función para obtener las referencias, que define el navegador cuando el usuario hace clic en un hipervínculo mientras navega por la Web. (El encabezado del referrer HTTP contiene la URL del sitio Web anterior que hace referencia al 7

8 nuevo recurso solicitado ahora.) Dependiendo de ese remitente en particular, Sinowal hace que Internet Explorer muestre una ventana emergente según el contexto con el título Advanced Card Verification (Verificación avanzada de tarjeta) que solicita al usuario los datos de su tarjeta de crédito. La ventana emergente maliciosa se inyecta a través de una interfaz COM de Internet Explorer. Figura 9: Ventanas emergentes inyectadas por el troyano Sinowal para obtener las credenciales del usuario. Como se observa en la Figura 9, los usuarios ven una ventana de VISA o de MasterCard (según el método de pago elegido en el sitio de comercio electrónico) falsa. El usuario no podrá cerrar esta ventana emergente ni siquiera haciendo clic de forma accidental, ya que Sinowal utiliza la función SetForegroundWindow() para colocarla sobre las demás ventanas, en un bucle infinito. A continuación, la información que roba el troyano se cifra antes de enviarse a una organización de delincuentes conocida como Russian Business Network (Red empresarial rusa) cuyas direcciones IP se han codificado en el código del troyano. Es posible que crea que está protegido por toda la criptografía que incorporan los protocolos HTTPS y SSH, pero el malware captura los datos antes de que se cifren o justo después de descifrarlos. El último giro de Sinowal Las últimas generaciones de la familia Sinowal han introducido un cambio importante en la estrategia y en el código: la familia recopila menos datos a nivel global (del sistema operativo, por ejemplo, intercepta menos funciones API) y, en cambio, consigue apoderarse de más datos atacando directamente a aplicaciones específicas. Esto ofrece a los agresores varias ventajas respecto a generaciones anteriores del troyano Sinowal: Hay menos datos y menos tráfico. Es más difícil descubrir al troyano a través de sus interceptaciones de API en memoria. Sinowal es más compatible. Las generaciones anteriores de Sinowal debían utilizar versiones concretas de Internet Explorer, mientras las nuevas generaciones funcionan de forma más independiente y universal con distintas versiones. 8

9 Las nuevas generaciones consultan las credenciales directamente del disco tras obtener su ubicación exacta del registro de Windows. El troyano ataca directamente a su principal enemigo: el software de seguridad, y lo desactiva interceptándolo en el disco. Los nombres de dominio de los agresores no sólo están codificados, sino que se calculan mediante un algoritmo basado en la fecha del día. Es posible que las generaciones de troyanos precedentes, con su ingente cantidad de funciones de robo de datos, se hayan utilizado en una primera fase de obtención de datos para recabar la información maliciosa que, posteriormente, se emplea para perfeccionar las siguientes generaciones con el fin de obtener resultados óptimos. Las combinaciones de nombre de usuario y contraseña que Internet Explorer guarda automáticamente se consultan mediante las funciones API FindFirst-/FindNextUrlCacheEntry(); las credenciales para el navegador Firefox que se han guardado automáticamente se recuperan mediante la lectura y el análisis de sus archivos signons.txt, signons2.txt y signons3.txt, que son los que contienen toda la información privada del usuario. La lista de aplicaciones víctimas de ataques similares es larga: Microsoft Outlook, Eudora, Mozilla Thunderbird, VanDyke SecureCRT, WinSCP y PuTTY, por nombrar sólo algunas. Las contraseñas, los números de identificación personal (PIN) y los números de autentificación de transacciones (TAN) que el usuario escribe en los cuadros de diálogo se roban con una técnica que es menos sospechosa que las antiguas funciones de interceptación: un subproceso que se ejecuta en segundo plano pasa de forma cíclica por las ventanas del escritorio, buscando determinadas imágenes y clases de ventanas que indiquen el uso de cuadros de diálogo de contraseñas en general o de cuadros de diálogo de aplicaciones financieras concretas que el troyano admita de forma explícita. A continuación, las contraseñas o los números TAN o PIN se recuperan enviando al cuadro de diálogo un mensaje de ventana WM_GETTEXT. Esto funciona al definir el carácter de contraseña (asterisco), ya que el troyano desactiva este tipo de ocultación visual antes de leer la contraseña y, a continuación, lo vuelve a activar con WM_SETPASSWORDCHAR. Todo esto ocurre en un espacio tan corto de tiempo que el cambio pasa desapercibido para los usuarios. Figura 10: Un cuadro de diálogo de contraseña convencional. No sólo se pone en riesgo la seguridad y la protección de los datos privados de los sistemas infectados, sino que la confianza en el sitio queda en entredicho por distintos motivos. El software que intenta proporcionar seguridad adicional, como los complementos del navegador (también conocidos como extensiones de búsqueda), señala de forma visual las conexiones seguras que se establecen con sitios de banca; por ejemplo, mediante un icono de semáforo. El malware intercepta en el disco estas señales para cambiar su comportamiento, de forma que aparentemente indicarán conexiones seguras cuando en realidad no lo son. El malware busca patrones de bytes de código específicos para interceptarlos, por lo que sus autores tienen otro motivo para revertir la ingeniería de los productos de seguridad. Gracias al uso de bibliotecas comerciales de terceros, cuya finalidad legítima es proteger las comunicaciones, se pueden crackear incluso las contraseñas cifradas o codificadas con hash. Una función aun más peligrosa de las variantes actuales de Sinowal es su capacidad para convertir el ordenador del usuario en un proxy abierto al mundo entero. Para ello, inyectan el código de servidor proxy en el proceso services.exe, una aplicación que se ejecuta con privilegios de sistema. Tras la inyección de código, el proceso ahora infectado aceptará cualquier conexión proxy HTTP, SOCKS4 y SOCKS5 entrante. De esta forma, el agresor puede montar un ataque de segunda fase, aprovechándose de la ubicación geográfica o la reputación del host infectado. Figura 11: Servidores proxy que se ejecutan en el contexto de un proceso con privilegios de sistema. 9

10 Basta una infección para vencer a su sistema inmunológico Como si no bastara con infectar y secuestrar la identidad de la víctima mediante un malware, el código proxy HTTP del malware abre otra brecha en los ordenadores infectados. Los agresores no se preocupan por la seguridad del código que desarrollan, por lo que los errores de Sinowal (así como de otras familias de malware importantes) dejan la puerta del equipo abierta a nuevos ataques a través de la ejecución remota de código. Una sola infección de malware puede llevar a un número interminable de infecciones de bajada, a través de los siguientes vectores de ataque: Figura 12: Código proxy HTTP erróneo. Los agresores controlan el ordenador infectado para que descargue otro componente de malware. El agresor es dueño de una red de bots y alquila el ordenador infectado a otro pirata, que descargará y ejecutará otro malware en el ordenador de la víctima. Otro agresor diferente busca sistemas infectados por un malware en particular y, a continuación, aprovecha las vulnerabilidades de dicho malware. Como decíamos, los autores del malware revierten la ingeniería del software de seguridad, así que, por qué no revertir también la ingeniería del malware de sus rivales para conseguir una mejor cuota de mercado? Un ejemplo reciente de un software malicioso que elimina a sus rivales de modo bastante poco convencional es el rootkit Tigger, 4 que aprovecha una vulnerabilidad local (MS08-066) en el código de Windows, para obtener privilegios de sistema que le permiten desactivar los productos de seguridad y eliminar el malware de la competencia. Como se observa en la Figura 12, una de las vulnerabilidades del código proxy HTTP de Sinowal se compone de un bucle que copia datos de un búfer proporcionado por el usuario obtenido de Internet en un búfer de pila limitada, hasta que se encuentra un determinado carácter en el búfer del usuario. Si se introducen datos con formato incorrecto se produciría el desbordamiento del búfer correspondiente, lo que permitiría a otro agresor ejecutar más código malicioso arbitrario en el equipo de la víctima infectado. Esto permitiría a otra tropa de agresores potenciales conseguir el control sobrescribiendo datos críticos, como el control de excepciones estructurado (o SEH, Structured Exception Handler), estructuras de pila y la dirección de devolución de la pila de la función. Aunque Windows proporciona mecanismos de seguridad integrados que protegen contra la ejecución de código en áreas de memoria que contienen datos y evitan que se sobrescriba el SEH, 5 dichos mecanismos pueden resultar ineficaces, ya que cualquier aplicación puede decidir si estas medidas deben surtir efecto en cada proceso de aplicaciones específico. Agresor A Agresor B Más delitos Más malware Agresor C Banca online Proxy del exploit Equipo infectado/ proxy vulnerable Figura 13: Distintos casos de ataques

11 Obviamente, los autores de malware no compilarán sus productos con /GS o /NXCOMPAT, que son indicadores que ordenan al compilador que genere código más seguro. Dada la posibilidad de desbordamiento del búfer de Sinowal, todos los campos restantes, es decir, los que no caben en el búfer, y, lo que es más importante, los punteros implicados en la ejecución de código arbitrario pueden sobrescribirse de forma remota. Las amenazas principales que se conocen actualmente son efectivas sólo durante algunas semanas. Gracias a la cooperación de las empresas de seguridad y las fuerzas de seguridad, los servidores que controlan el malware son neutralizados. Cuando esto ocurre, el malware ladrón de contraseñas no puede remitir las credenciales robadas; sin embargo, con la brecha que se abre en el servidor proxy que funciona con un nivel de privilegios alto, el equipo infectado queda desprotegido frente nuevos ataques. Parece que las comunidades clandestinas tenían constancia de la existencia de este código de proxy y de sus posibles errores desde Zbot: la siguiente generación de keyloggers Zbot es otra familia de malware de robo de datos con fines económicos cuyo objetivo son específicamente los números PIN y TAN de operaciones bancarias. Como ocurría con las primeras generaciones de Sinowal, el troyano Zbot intercepta determinadas funciones API de usuario para conseguir las credenciales sobre la marcha. La diferencia es que Zbot se limita a utilizar interceptaciones de API en modo de usuario, en lugar de incorporar las interceptaciones en modo de kernel que contiene el componente rootkit de Sinowal. Un desvío de la función NtQueryDirectoryFile() de ntdll.dll, que es la API nativa activada por las funciones de la API FindFirst-/FindNextFile(), filtra varios nombres de directorios y archivos que son invisibles para el usuario. Figura 14: El kit de construcción de Zbot permite generar nuevas variantes con solo hacer clic con el ratón. Se preparan varias interceptaciones adicionales para funciones API nativas, como NtCreateThread(), LdrLoadDll() y LdrGetProcedureAddress(), para inyectar código malicioso en los procesos y subprocesos recién creados y para asegurarse de que sus propias interceptaciones de API sigan siendo efectivas. Como Sinowal, el troyano Zbot roba credenciales sobre la marcha interceptando código que pertenece a API de redes. Estas interceptaciones representan un ataque de intermediario mediante la captación de la comunicación en el cliente, antes de que llegue a la red. El troyano puede configurarse para que ataque solamente las sesiones de un host determinado, como el sitio Web de un gran banco, pero también puede capturar credenciales y nombres de hosts a nivel global. Por ejemplo, la interceptación de InternetReadFile() buscará etiquetas HTML típicas; la función send() de ws2_32.dll desviada, en cambio, busca en los búferes algo que se parezca a un protocolo FTP. Los verbos y palabras clave user, pass, feat, pasv, list, nbsp;, br o script pueden activar las funciones de registro o modificación del troyano. 11

12 Figura 15: Servidores de control y mando de la familia de malware Zbot activos. (Fuente: abuse.ch) Uno de los desvíos más peliagudos de Zbot es el que se instala para TranslateMessage(), una función de Windows para convertir códigos de claves virtuales en caracteres legibles. El troyano se inserta y actúa como un keylogger o registrador de pulsaciones convencional interceptando los mensajes WM_KEYDOWN y registrando todos los caracteres, por ejemplo, las credenciales. Pero la parte más astuta es el desvío que intercepta los mensajes de ventana WM_LBUTTONDOWN, que son eventos que señalan los clics con el botón izquierdo del ratón. Cada vez que se hace clic (hasta un máximo de 20 veces), se crea una captura de pantalla cuadrática con el cursor del ratón en el centro. Esta captura permite captar gráficamente las credenciales que proporciona el usuario mediante el uso de teclados virtuales o en pantalla. La reacción de los agresores ante un registrador de pulsaciones gráfico de tal calibre es obvia. Es el juego del ratón y el gato; la respuesta a la decisión de las instituciones bancarias de cambiar los métodos de autenticación mediante el teclado por mecanismos propios, basados en teclados virtuales. Código Función send() de ws2_32.dll 1. Desvío al código del troyano 3. Llamada a ws2_32.dll Procedimiento de interceptación de Zbot para send() 2. Argumentos de inspección y modificación Pila Montón, pila y memoria global int flags int len const char *buf SOCKET s dirección del que llama USER, PASS, LIST, FEAT Figura 16: Gráfico que ilustra la interceptación de la API send() de Zbot. 12

13 Figura 17: Los keyloggers de siguiente generación roban datos introducidos con teclados virtuales. Las capturas de pantalla se almacenan como archivos JPEG en un subdirectorio screens, oculto mediante el rootkit del troyano, de forma que nunca podrían ser descubiertos de forma accidental por un usuario. Todos los nombres de archivos se componen de distintos elementos, como la identificación asociada con el proceso en ejecución, un carácter de subrayado y el número de señales de reloj actual. Con esta información, la secuencia cronológica de los codificadores en los que se ha hecho clic pueden recomponerse fácilmente para obtener números TAN completos. Otra función que Sinowal y Zbot tienen en común es el proxy SOCKS, que en Zbot dispone de una puerta trasera integrada que escucha en un puerto TCP elegido al azar. Entre el grupo de comandos que admite esta puerta trasera se encuentra una función para crear y enviar capturas de pantalla a través de un protocolo propietario. El agresor puede, según el ancho de banda de la víctima, proporcionar la codificación adecuada (por ejemplo, GIF, JPEG o BMP). Sin embargo, cabe esperar consecuencias más devastadoras si se ejecuta un comando de puerta trasera que elimine todas las claves secundarias del registro, a partir de las claves raíz HKEY_CURRENT_USER\Software, HKEY_LOCAL_ MACHINE\Software y HKEY_LOCAL_MACHINE\System. El sistema afectado quedaría totalmente inutilizable. Tras lanzar un ataque en el que utilicen la dirección IP del host como origen, los agresores pueden destruir de forma remota el sistema afectado para eliminar pistas. Steam Stealer y el mercado negro de credenciales de juegos Steam Stealer, otro ladrón de contraseñas, es menos habitual que los dos ladrones profesionales Sinowal y Zbot. Su código tiene una estructura modular, lo que puede ser indicio de la existencia de un kit de construcción o de varios fragmentos de código robados de otro malware. Esta última opción es la más realista, ya que el malware se puede configurar a través de un recurso integrado en el ejecutable, lo que elimina la necesidad de contar con un kit de construcción específico. El código presenta varios defectos, como el amplio uso de funciones de biblioteca obsoletas que, afortunadamente, no contribuyen precisamente a la eficacia del malware. Steam Stealer se aprovecha de herramientas comerciales de terceros para crackear las credenciales que consigue. En resumidas cuentas, todo parece indicar que este troyano es una amalgama de fragmentos de código y archivos binarios de terceros que se pueden encontrar en distintos foros clandestinos. Figura 18: Lista de juegos objetivo de Steam Stealer. 13

14 Antes de intentar apoderarse del tesoro de un jugador, Steam Stealer emplea varios métodos bien conocidos para detectar equipos virtuales. Algunos, muy sencillos, activan la función API GetCurrentUser() y comparan el resultado con una lista de nombres de usuario que se sabe que han utilizado algunos entornos de prueba ( sandbox ). Otros intentan detectar sistemas operativos virtuales sondeando un determinado valor del registro de hardware. El patrón de bytes formado por esta secuencia de códigos del ensamblador x86 es bastante peculiar. De hecho, es tan peculiar que muchos productos antimalware lo detectan e identifican con mucha facilidad. Como respuesta, los autores del malware decidieron ocultar el patrón generando el código (compuesto solamente por unos cuantos bytes) de forma dinámica en una pila antes de que el malware accediera a él. La utilidad Prevención de ejecución de datos de Microsoft, que se introdujo en Windows XP Service Pack 2, detecta el código que se intenta ejecutar en la pila. Si dicha utilidad está activada para todos los procesos, que no es la opción predeterminada en algunas plataformas Windows, el malware simplemente fallaría y no produciría ningún daño. Otros métodos de detección que utiliza Steam Stealer, como detectar la presencia de varios productos de seguridad, se limitan simplemente a intentar abrir algunas claves del registro de Windows o poner en la lista negra procesos y bibliotecas cargadas por nombre. Sin embargo, existe un mercado comercial para Steam Stealer: el malware personalizado se vende a 60 euros y se adapta a las necesidades del cliente. Con el malware se incluye un ejecutable comprimido, por 40 euros, cuyo objetivo es que el malware sea FUD, como se denomina en los círculos de la ciberdelincuencia a los ejecutables que son complemente indetectables ( fully undetectable ). Estos compresores de ejecutables, o utilidades de cifrado, se denominan con frecuencia binders, ya que funcionan como programas de instalación convencionales. Liberan y ejecutan binarios agrupados y cifrados, opcionalmente sólo en la memoria, de forma que los analizadores en tiempo real ni siquiera podrán ver o analizar dichos archivos. Con servicios como VirusTotal.com disponible al público, o también mediante el uso de análisis de línea de comandos offline, los ciberdelincuentes analizan y modifican sus nuevas variantes mediante binders, hasta que ya no se detectan. Figura 19: Tienda online de Steam. 14

15 Figura 20: Extracto del seudocódigo descompilado de Steam Stealer. En cuanto se ejecuta, Steam Stealer carga varios módulos que comienzan a recopilar contraseñas de Firefox guardadas, claves de CD e identificadores de productos de una larga lista de los juegos más populares y los productos de Microsoft. Steam Stealer sigue una lista predefinida de rutas de registro de los productos y lee sus valores, que contienen las credenciales que buscan los agresores. Un componente, que ataca explícitamente las credenciales de Steam, lee y descodifica un archivo que contiene la cuenta y la contraseña de Steam del usuario. Este archivo, ClientRegistry.blob, se encuentra en el directorio de instalación de Steam. La lista de credenciales robadas se reúne en una variable de pila y se guarda en una ubicación aparte en el disco, preparada para proporcionar el botín al agresor. Dependiendo de la configuración que incluya Steam Stealer, es posible que el malware también robe las credenciales de programas de mensajería instantánea, cuentas de correo electrónico, cuentas de red de área local y cuentas FTP. Por desgracia, no todas estas credenciales son cifradas por las aplicaciones correspondientes antes de guardarlas en el disco. Además, las que realmente presentan problemas para los desarrolladores de malware incluyen software gratuito de recuperación de contraseñas que ellos aprovechan para crackear credenciales cifradas. Steam Stealer puede configurarse para recopilar cualquier cosa y enviarla de vuelta al agresor por correo electrónico (mediante un componente SMTP independiente) o bien cargarla en un servidor FTP. Conclusión: los ciberdelincuentes sacan partido de la crisis económica A principios del pasado mes de febrero, el FBI publicó una nota de prensa 6 para informar del problema de los timos relacionados con ofertas de trabajo en casa. Tras la crisis económica, la súbita pérdida de empleo lleva a individuos desesperados a buscar nuevas oportunidades. En estas circunstancias, aceptan prácticamente cualquier cosa y, en ocasiones, se ven envueltos en ciberdelitos. Algunos pueden recurrir a trabajar como mulas de dinero, transfiriendo de manera ilegal fondos obtenidos a través de ladrones de contraseñas en nombre de ciberestafadores. Estas víctimas, sometidas a una fuerte presión financiera, a menudo no saben o sencillamente no les importa la actividad criminal que se esconde detrás del blanqueo de capitales. Pero la actividad en la que participan no está exenta de riesgos; las transferencias bancarias que realizan pueden revocarse y, por consiguiente, dejar un agujero en la cuenta del blanqueador de capitales. Además, las mulas tienen muchas posibilidades de estar en el punto de mira de las autoridades encargadas de investigar la ciberdelincuencia. Afortunadamente, muchos bancos limitan la cantidad de dinero que puede transferirse a países extranjeros. Sin embargo, gracias a la ayuda de las mulas de dinero, las transferencias parecen transacciones nacionales y con frecuencia eluden la acción de las fuerzas de seguridad. No obstante, como los blanqueadores de dinero están por lo general más expuestos, son ellos los que acaban siendo descubiertos y procesados por las fuerzas de seguridad, mientras que los verdaderos criminales permanecen ocultos e impunes. Los consumidores están avisados; deben estar bien atentos y no aceptar ofertas de trabajo que parecen demasiados buenas para ser verdad o, de lo contrario, pueden acabar sin proponérselo inmersos en actividades criminales. De vuelta al mundo virtual, los agresores se esconden detrás del host infectado de otros, ya que, hoy en día, los servidores proxy no incluyen necesariamente un archivo binario aparte, sino que sencillamente forman parte del malware. Al igual que ocurre en el caso real de los blanqueadores de dinero, la dirección IP del host que se han apropiado se utiliza posteriormente para cometer ciberdelitos de forma anónima. Y, además, las víctimas sufren por partida doble, como si la infección de un ladrón de contraseñas no fuera ya lo suficientemente grave, es posible que, cuando se identifiquen sus ordenadores como el origen del ataque de malware, también se deban enfrentar a acciones legales como presuntos autores de ciberdelitos. De manera remota, a través del sistema que han atacado, los agresores pueden destruir el sistema infectado y así eliminan todo rastro, tan fácil como hacer clic en los juegos de ordenador. La víctima ni siquiera tiene la posibilidad de solicitar que un experto forense siga el rastro del origen del malware

16 Delincuente Víctima Mula de dinero Víctima Mula de dinero Figura 21: Las mulas de dinero, o intermediarios que blanquean dinero, y las víctimas de timos de trabajo en casa se ven envueltos en actividades delictivas. Tal y como hemos explicado en este informe, la evolución del malware de robo de contraseñas se rige por una especie de juego de policías y ladrones, entre los ciberdelincuentes y las instituciones bancarias online. Sin embargo, un aumento de las medidas de seguridad no implica necesariamente una mayor facilidad de uso. Por lo general, más bien ocurre lo contrario, ya que la introducción de nuevos mecanismos de seguridad suele complicar las cosas para los usuarios y acaba por desanimarlos. Cuántos niveles de complejidad están dispuestos a soportar los usuarios? No es tan sencillo como introducir o tener que memorizar otro código secreto. Las instituciones financieras deben encontrar un mejor equilibrio entre seguridad y facilidad de uso. Algunos clientes llegan incluso a escribir sus números PIN y guardarlos, junto con sus tarjetas bancarias, en la cartera, ya que les resulta demasiado complicado tener que memorizar tantos códigos y contraseñas. Es obvio que con este tipo de comportamientos cualquier medida de seguridad es absolutamente inútil. Los tokens de autenticación mediante contraseña de un solo uso son un buen comienzo, pero el coste de estos dispositivos recae sobre el cliente. Cuántos usuarios está dispuestos a costearse métodos de seguridad bancaria que, por otro lado, consideran que deberían ser gratuitos? Además, lo que sí parece claro es que los ladrones de contraseñas no van a desaparecer de la noche a la mañana. Gracias a la amplia disponibilidad de sencillos kits de construcción que permiten prácticamente a cualquiera crear troyanos personalizados con un simple clic, las infecciones con malware de robo de contraseñas más sofisticado aún son la dura realidad. Con la alta rentabilidad del negocio de robo de credenciales online, los delincuentes no sólo no van a desaparecer, sino que ampliarán su espectro de seguidores más allá de los clientes bancarios y los jugadores online. Los ataques de clonación de tarjetas (skimming), que ponen en riesgo el software y los sistemas operativos de los cajeros automáticos, son un ejemplo de nuevas técnicas que podrían aumentar en popularidad en el mundo de la ciberdelincuencia. Con los modernos y sofisticados mecanismos que utiliza el malware actualmente para salvar las barreras de las soluciones de seguridad y evitar ser descubierto, cada vez es más importante no sólo evitar, sino revelar y aislar las infecciones actuales de una red. Comportamientos extraños, como un aumento del tráfico de red permanente o solicitudes de autodiagnóstico (POST) HTTP cifradas, son síntomas probables de infección y pueden detectarse fácilmente mediante el gateway de red. El riesgo de que un solo empleado infecte toda la red de una empresa es extremadamente alto; basta con que lleve al lugar de trabajo un portátil o un dispositivo de almacenamiento masivo infectado, sin ser consciente de ello, y lo conecte a la red corporativa. En tiempos de crisis económica, los gobiernos tienden a caer en el proteccionismo y a restringir el comercio entre naciones. Pero con las nuevas amenazas transfronterizas, en las que el delito se comete en un país, pero el sospechoso reside en otro distinto, resulta fundamental que los gobiernos presten una mayor atención a la ciberdelincuencia y cooperen a nivel internacional en la captura de los malhechores. 16

17 Reconocimientos Queremos dar las gracias a nuestro compañero François Paget por su inestimable ayuda con los datos estadísticos. Acerca de los autores Dennis Elser es ingeniero del equipo de investigación y desarrollo de protección contra malware de gateway en McAfee. Está especializado en investigación de vulnerabilidades y desarrollo de tecnologías de detección de exploits proactivas. Publica periódicamente en el blog de McAfee Avert Labs y es autor de varios artículos de la revista Virus Bulletin sobre temas que van desde las vulnerabilidades de Windows al malware basado en multimedia. Micha Pekrul es ingeniero del equipo de investigación y desarrollo de protección contra malware de gateway en McAfee. Sus áreas de especialidad incluyen la investigación de contenido Web malicioso y el desarrollo de los métodos de detección correspondientes, utilizados en McAfee Web Anti-Malware, Gateway Edition. Pekrul comparte con frecuencia sus conocimientos sobre las últimas amenazas en el blog de Avert Labs y es autor de varios artículos de la revista Virus Bulletin. McAfee, S.A. Avenida de Bruselas nº 22 Edificio Sauce Alcobendas Madrid, España McAfee y/u otros productos relacionados con McAfee mencionados en este documento son marcas comerciales registradas o marcas comerciales de McAfee, Inc. y/o sus empresas filiales en EE. UU. y/u otros países. El color rojo asociado a la seguridad es el distintivo de los productos de la marca McAfee. Todas las demás marcas comerciales registradas o no registradas y productos no relacionados con McAfee que se mencionan en este documento son meras referencias y son propiedad exclusiva de sus propietarios respectivos McAfee, Inc. Reservados todos los derechos. 6622wp_password-stealers_0709_ETMG