Los programas maliciosos que roban datos confidenciales para entrar en los sistemas bancarios online llevan causando dolores de cabeza a las organizaciones financieras de todo el mundo desde hace tiempo. En este caso, estamos hablando de un programa que modifica la cuantía y destinatario de las transacciones legítimas de banca online sin el conocimiento de la víctima.
Hace un año, Kaspersky Lab describía la fórmula utilizada por el primer programa malicioso diseñado para atacar a usuarios de un software para banca online desarrollado por la compañía BIFIT. Pero en la actualidad siguen existiendo varios programas maliciosos con similar funcionalidad, entre ellos:
Trojan-Banker.Win32.iBank
Trojan-Banker.Win32.Oris
Trojan-Banker.Win32.BifiBank
Trojan-Banker.Win32.BifitAgent
Este último programa malicioso tiene varias características técnicas que lo distinguen de sus similares, ya que ejecuta dos módulos principales en el equipo capturado: un archivo ejecutable y un archivo comprimido JAVA. Mientras se instala, crea una carpeta en la que se copian los siguientes archivos:
- AGENT.EXE v, el principal módulo ejecutable responsable de las comunicaciones con el servidor de comando. Este módulo es capaz de autoactualizarse, gestionar procesos, ejecutar comandos mediante CMD.exe, y descargar y ejecutar cualquier archivo, siempre obedeciendo los comandos procedentes del servidor de comando.
- ALL.POLICY v, un archivo de configuración JAVA que elimina cualquier restricción de seguridad relacionada con JAVA.
- BIFIT_A.CFG v, el archivo de configuración de los programas maliciosos que incluye el número de identificación de los sistemas infectados y las direcciones de los servidores de comando.
- BIFIT_AGENT.JAR v, un archivo comprimido JAVA que contiene el código para interactuar con los sistemas de BIFIT.
- JAVASSIST.JAR v, un archivo comprimido JAVA y que incluye las funciones adicionales que requiere BIFIT_AGENT.JAR.
El principal módulo ejecutable, responsable de la comunicación con el servidor de comando, funciona de forma simultánea con los archivos maliciosos JAR. Esto permite a los ciberdelincuentes modificar de forma instantánea cualquier código que se ejecute en JAVA, en particular mientras se llevan a cabo las transacciones bancarias.
El código de BIFIT_AGENT.JAR está altamente ofuscado, dificultando aún más el análisis de los archivos que interactúan con estos sistemas. No obstante es posible reconstruir las acciones del programa malicioso ya que éste posee amplias capacidades relacionadas con el registro de sus propias acciones.
El análisis de la funcionalidad incluida en BIFIT_AGENT.JAR demuestra que la principal función de los archivos JAR es falsear los datos utilizados en las transacciones bancarias realizadas desde los equipos infectados. Y todo esto pasa desapercibido para el usuario, ya que los datos que se falsean son los que se envían al banco, no los que ve el usuario. El uso de un token USB en la transacción no es ningún obstáculo para los atacantes, ya que se firma la transacción sólo después de que los datos se han falseado.
Una de las características particulares de Trojan-Banker.Win32.BifitAgent es que incluye una firma digital. En abril, la colección de programas maliciosos de Kaspersky Lab incluía alrededor de 10 variantes del programa malicioso, todas con una firma válida emitida por Accurate CNC.
Se han detectado instalaciones de Trojan-Banker.Win32.BifitAgent en equipos que son parte de redes zombi creadas por programas maliciosos como Trojan.Win32.DNSChanger, Backdoor.Win32.Shiz, Virus.Win32.Sality, etc. Pero no se ha detectado ninguna propagación mediante exploits. Por la distribución de infecciones podemos deducir que los ciberdelincuentes adquieren el acceso a equipos pertenecientes a redes zombi en los que detectan sistemas bancarios BIFIT y proceden a instalar Trojan-Banker.Win32.BifitAgent.
Los usuarios deben asegurarse de que a su ordenador sólo acceden usuarios de confianza y utilizar o actualizar sólo aplicaciones de fuentes seguras que garanticen que no están infectadas. Se recomienda utilizar programas de seguridad actualizados, como soluciones antivirus, cortafuegos personales, productos que protejan contra el acceso desautorizado, etc. Además, si el usuario recibe un mensaje de error cuando esté tratando de conectarse al servidor de su banco, debe ponerse en contacto con su entidad financiera de inmediato, averiguar si sus servidores están funcionando con normalidad y comprobar cuándo realizó la última transacción.
Más información en la
Sala de Prensa de Kaspersky Lab España
Crear cuenta