¿Qué son y cómo funcionan los troyanos bancarios?

En los últimos tiempos, las técnicas fraudulentas tradicionales (phishing) basadas en la ingeniería social han evolucionado, apoyándose en el uso de malware, en concreto, en troyanos. Así, hoy en día, la mayoría de estos especímenes de código malicioso están diseñados precisamente con el objetivo de conseguir beneficios económicos para sus creadores a través de los fraudes bancarios.

¿Qué son los troyanos bancarios? ¿Qué vectores de infección explotan estos ejemplares? ¿Cómo consiguen interceptar las credenciales de las entidades financieras? A continuación se dará respuesta a éstas y otras preguntas, analizando las principales familias de troyanos bancarios, e intentando concienciar al lector de la creciente amenaza de estos ejemplares.

¿Qué es un troyano bancario?

Este término alude al subconjunto de malware que persigue el robo de datos de cuentas bancarias electrónicas. En este contexto otros servicios financieros, por ejemplo realizar operaciones de bolsa online, también se consideran banca electrónica.

Los troyanos que se diseñaron específicamente para capturar información bancaria comenzaron a aparecer en 2004. Fue en este año cuando se notó una evolución en los keyloggers1, o capturadores de teclas tradicionales, ya que se detectaron ejemplares que filtraban la captura de datos en función de las páginas visitadas. Desde entonces las técnicas de captura de credenciales y de monitorización de entidades visitadas se han depurado tanto que los consejos de seguridad tradicionales, como observar la presencia del candado de seguridad en la página de la entidad bancaria, comprobar la autenticidad del certificado de seguridad, etc. son insuficientes.

Con el fin de recoger la información únicamente de las páginas visitadas por el usuario, estos troyanos suelen recoger y actualizar listados de entidades bancarias, bien en su cuerpo, bien en un archivo de configuración que crean o que descargan desde un servidor malicioso. Algunos de estos troyanos tienen enormes listas de cadenas de monitorización de actividad bancaria, por ejemplo, la familia Sinowal emplea más de 2000.

Es un tipo de troyano que se caracteriza por capturar y almacenar las pulsaciones efectuadas sobre el teclado. Posteriormente esta información (que puede contener información sensible) se envía a un atacante, que las puede utilizar en su propio provecho. Las últimas versiones de este tipo de programas maliciosos también hacen capturas de pantalla del equipo atacado. De esta forma, se hace ineficaz e inseguro el uso del teclado virtual.

Existen dos corrientes principales de malware bancario, según el país de origen de los diseñadores de los códigos maliciosos, la brasileña y la rusa. Por lo general los ejemplares de la escuela rusa suelen ser mucho más sofisticados y silenciosos. También cabría citar a China y Corea, como otros orígenes emergentes en la generación de este tipo de códigos maliciosos.

Situación actual de equipos afectados por troyanos y troyanos bancarios

Se han considerado las familias de troyanos bancarios más populares que efectúan ataques dirigidos contra entidades bancarias2. Son las siguientes:

bancos, bank, banker, silentbanker, zbot, sinowal, torpig, fraud, zeus, infostealer, ambler, stealer, yessim, yaludle, banload, bankpatch, multibanker, nethell, chromeinject, goldun, banspy, bancodoor y bancodo.

A la hora de interpretar los datos, es necesario aclarar que los equipos que alojan malware bancario no necesariamente terminan en una situación de fraude. Para que un fraude se produzca se han de dar tres circunstancias:
  • El equipo del usuario ha de estar infectado por este tipo de troyanos.
  • El espécimen que infectó la máquina del usuario ha de atacar a la entidad bancaria con la que opera el usuario.
  • El usuario ha de iniciar sesión en su espacio de banca electrónica y rellenar los datos adicionales que se le soliciten.

¿Qué técnicas emplean estos ejemplares para monitorizar la visita a páginas bancarias?

El filtrado de los datos de los usuarios se lleva a cabo mediante listas de entidades bancarias a monitorizar. Dichas listas contienen cadenas de texto que suelen ser:

La propia URL del banco objeto de suplantación: http://www.mibanco.com

Subcadenas de la URL del banco: *mibanco.com

El título de la ventana de la página de banca en línea: MiBanco – Internet Explorer

Cadenas particulares del cuerpo de la página de banca en línea: © MiBanco 2008. Todos los derechos reservados.

Cadenas del código HTML de la página relacionadas con los formularios de ingreso a la cuenta personal: <label for="lg_username" class="labuser_01">

Para poder comparar estas cadenas con los nombres, y otros parámetros, de las páginas visitadas, ha de existir un mecanismo que permita interactuar con el contexto de la página visitada. Los métodos más usuales son la intercepción de funciones de la API de

Existen otras familias de troyanos que pueden emplearse para cometer fraude aunque éste no sea su cometido primordial o único. Por ejemplo, los capturadores genéricos de teclas en ocasiones pueden ser utilizados para capturar credenciales bancarias. De igual forma, los troyanos tradicionales de puerta trasera permiten hacer capturas de pantalla remotas y ver lo que el usuario escribe. Así, podrían ser empleados por un atacante para interceptar credenciales de servicios de banca o pagos online. Estas familias no se están considerando en el análisis.

Windows (hooks), extensiones de Internet Explorer (BHOs, Browser Helper Objects) o de Firefox, inspección de ventanas abiertas, DDE, interfaces COM/OLE, e instalación de controladores en el sistema.

¿Cómo logran los troyanos robar las credenciales bancarias?

Los métodos que se han citado con anterioridad para monitorizar entidades, en la mayoría de los casos, también sirven para capturar datos bancarios. Se suele hacer una clasificación más somera de los troyanos en función de la técnica empleada para capturar los datos de los usuarios. Éstas son las más comunes:

  • Registro de teclas pulsadas
  • Captura de formularios
  • Capturas de pantalla y grabación de video
  • Inyección de campos de formulario fraudulentos
  • Inyección de páginas fraudulentas
  • Redirección de páginas bancarias
  • Hombre-en-el-medio (man-in-the-middle)
  • Registro de teclas pulsadas

¿Qué sucede con los datos robados?

Una vez capturados los datos de banca electrónica, éstos han de pasar a manos de los atacantes para poder perpetrar el robo. Cuando se emplea el phishing o el pharming, será el propio servidor fraudulento, que contiene las imitaciones de las páginas de banca legítimas, el que analiza y trata los datos, posteriormente los guarda en el propio ordenador o los envía a un tercer equipo.

Además, con el fin de levantar menos sospechas, los datos robados suelen cifrarse antes de su envío al atacante; así, cualquiera que monitorice el tráfico detectará comunicaciones extrañas pero no será capaz de ver la información robada.

En los últimos meses se está haciendo habitual entre los criminales el empleo de auténticos portales Web para la recogida de los datos robados y creados exclusivamente para ese fin. Estos portales contienen una base de datos y conjunto de scripts (códigos

¿Cómo se materializa finalmente el robo?

Una vez el atacante cuenta con las credenciales y datos de acceso a las cuentas bancarias, el atacante tiene que extraer el dinero de las cuentas.

Para ocultar su identidad, los atacantes tradicionalmente han recurrido a la figura de los muleros. Estos muleros son individuos que, pensando que están realizando un trabajo totalmente legal y por una cierta cantidad de dinero, actúan sin ellos saberlo como pasarela en transacciones bancarias de dudosa naturaleza, y que al final se hacen responsables del fraude cometido al actuar de pantallas del delincuente. Hay que destacar nuevamente que estos muleros son usuarios normales, que actúan de buena fe, pensando que realizan un trabajo remunerado para una empresa o un tercero, y que normalmente son captados para realizar estas operaciones mediante ofertas de trabajo falsas por Internet.

El sistema de transferencias para el robo funciona del siguiente modo: los atacantes se introducen en la cuenta del usuario del que tienen los datos, con las credenciales robadas, y realizan una transacción a una cuenta que previamente ha abierto el mulero, con su propia titularidad, recalcando de nuevo que sin conocer que está cometiendo un delito. Una vez que el cibercriminal envía el dinero, desde la cuenta bancaria del usuario al que ha robado los datos, al mulero, éste extrae el dinero de su cuenta y realiza la entrega del mismo al atacante o a un delegado de este, bien en mano o, más habitualmente, a través de transacciones hacia cuentas en el extranjero que pertenecen al delincuente y que no dejan ningún registro. Por lo general, en este tipo de estafas, el mulero es la única identidad visible, y en el mejor de los casos éste sería capaz de identificar al atacante que le “contrató” para realizar dichos servicios y enviar las transferencias.

El modelo se puede complicar, recurriendo a diversos muleros intermedios que van transfiriendo el dinero entre sus cuentas hasta que finalmente se llega a un último punto en el que se transfiere el dinero al atacante.

Certificados


 

 

 
 

Enlaces


Asuntos judiciales

EXCLUSIVAMENTE para notificaciones judiciales de la Universidad Libre
haga clic aquí

Protección de datos

Consulta aquí el Marco Regulatorio de Protección de datos.

Contáctenos

Sede Principal Bogotá

Línea Gratuita Nacional:
01 8000 180560

PBX: (601) 382 1000

Campus La Candelaria:
Calle 8 n.º 5-80

Campus El Bosque Popular:
Carrera 70 n.º 53-40

Edificio El Centenario:
Ingreso peatonal - Calle 37 n.º 7-37
Ingreso vehicular - Carrera 7 n.º 36-91

Directorio Telefónico