lunes, 22 de octubre de 2007

Troyano bancario con geolocalización IP

Normalmente estamos acostumbrados a que utilicen la geolocalización por IP en la parte servidor de las infraestructuras de las botnets y paneles de administración web del malware, básicamente de forma genérica para tener estadísticas y filtros de los datos capturados o sistemas infectados por países.

El viernes estuvimos analizando un troyano bancario que, tras realizar una petición, obtiene una localización geofráfica más exacta además del país para utilizarla desde el propio binario, en la parte cliente del sistema infectado. Finalmente nos defraudó un poco el uso que le daba (lo comentaremos esta semana en una charla, por eso no lo adelanto ahora).

Resulta interesante observar como la geolocalización, que es utilizada como medida preventiva por parte de las entidades para detectar comportamientos sospechosos en las transacciones, también puede servir a los intereses de los atacantes. Al fin y al cabo la tecnología suele ser neutra, todo depende del uso que se le de.

El troyano en cuestión iba dirigido específicamente contra varias entidades internacionales, con algunas españolas importantes como BBVA y Cajamadrid. Su distribución estaba siendo bastante heterogénea, afectando a usuarios de todas las nacionalidades, y en el momento del análisis se podían contar unos 45 sistemas españoles infectados.

Resaltado con la flecha roja el campo de "Firma" que el troyano crea e inyecta en el formulario de acceso de Cajamadrid. Ese campo adicional facilita que el usuario-víctima proporcione la firma que sólo debería introducir para realizar operaciones sensibles, como por ejemplo una transferencia. De esta forma el atacante obtiene los tres datos de forma simultánea, el identificador, clave de acceso y firma de transacciones.

Fuente: http://blog.hispasec.com/laboratorio/247