Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

jueves, 13 de septiembre de 2012

El despertar del crimeware en América Latina

Según un estudio realizado por LACNIC (Latin America and Caribbean Network Information Centre) $93,000 millones de dólares se perdieron en América Latina como consecuencia del cibercrimen regional. La cifra no es caprichosa sino que marca en su justa medida la proyección delictiva en favor de los delincuentes informáticos que cada vez con mayor fuerza atentan contra el bolsillo de los usuarios.


Esta cifra se suma a las perdidas millonarias que también sufren otros continentes en mano de la delincuencia digital que emplea crimeware como principal canal de ataque, poniendo sobre la mesa la realidad de un problema cada vez más preocupante a nivel global.

Unificando conceptos
El término crimeware se refiere a cualquier aplicación, habitualmente web, que facilita el robo de información financiera empleando Internet como principal vector para la gestión de equipos infectados. Si bien la gama de aplicaciones del tipo crimeware que existen en la actualidad no es muy amplia, existe una clasificación de la cual los más relevantes son:

Exploit Pack: Conjunto de exploits – código que intenta aprovechar una debilidad específica en un sistema operativo o aplicación implementada sobre éste – preconfigurados en un sólo paquete que se gestiona a través del protocolo HTTP, y que permite procesar información de cada uno de los equipos infectados (inteligencia), almacenando datos estratégicos que el atacante puede emplear para personalizar campañas de infección. Se comercializa en el mercado negro y ejemplos relevantes son BlackHole y Phoenix.

Malware Kit: Aplicación que permite automatizar el desarrollo de malware personalizado y controlar de forma total y remota cada uno de los equipos infectados. A diferencia de los Exploit Pack, los Malware Kit se componen de dos partes; por un lado un programa interno que facilita el desarrollo de un malware y por el otro la aplicación Web que permite al atacante gestionar una red de computadoras infectadas (botnet) a través del protocolo HTTP. Ejemplos ampliamente conocidos son ZeuS y SpyEye.
Crimeware de exportación

Si bien las estrategias de ataque ejecutadas a través de Malware Kit se reflejan, fundamentalmente, contra usuarios de Europa y Asia, desde hace algunos años han sido configurados para atacar a usuarios de entidades bancarias de América Latina.

La “mafia digital” que se esconde detrás de los procesos fraudulentos del cibercrimen ha ampliado la cobertura de ataque agregando en su cartera de oportunidad a América Latina debido, fundamentalmente, a las siguientes dos perspectivas: alto crecimiento económico en muchos países latinoamericanos y falta de legislación especifica en materia de seguridad informática.

Bajo este panorama, delincuentes informáticos de otros continentes han comenzado a atacar a través de malware a usuarios de América Latina, particularmente, desde principios del año 2011.

A mediados de 2011, Kaspersky Lab a través de su Equipo Global de Análisis e Investigación (GReAT), descubrió una variante de SpyEye (de origen ruso) con foco en América Latina. El país más afectado fue Argentina con más de 12,600 equipos infectados, seguidos por Chile y Perú con más de 4,300 y 1,300 respectivamente.

Panel estadístico de SpyEye, mediante el cual se refleja algunos de los países afectados por esta campaña de ataque.

Y durante este mismo año 2012, un ataque dirigido únicamente a usuarios de entidades bancarias de Costa Rica fue objetivo de SpyEye.

Consideremos que SpyEye, como otros Malware Kit de su estilo (por ejemplo ZeuS), permiten personalizar los blancos de ataque (entidades bancarias) a través de un archivo de texto plano llamado WebInject que interactúa maliciosamente con otras piezas de la amenaza, generando un componente de ataque realmente complejo para los usuarios que hacen uso de la banca en línea.

A través de esta modalidad de ataque, los delincuentes informáticos no sólo poseen control total sobre cada una de las computadoras infectadas (hábito que busca generar redes de computadoras infectadas que reciben el nombre de botnet) sino que también permite interceptar en tiempo real una transacción bancaria realizada a través del equipo víctima. Todo esto en cuestión de segundos y sin que el usuario se percate de ello.

Porción de código de ZeuS en la cual puede visualizarse la maniobra de ataque que permite obtener información relacionada a los transacciones bancarias en tiempo real.


Asimismo, recientemente el equipo de investigación de Kasperky detectó otra importante maniobra de ataque dirigida a usuarios de banca en línea a través de un malware generado por Citadel, un Malware Kit basado en el código fuente de ZeuS y cuya reciente versión es detectada por Kaspersky Lab como “Dorifel”.

Entre la configuración de esta nueva amenaza, se encuentran importantes entidades bancarias de América Latina, basadas fundamentalmente en Brasil y Perú.

Porción de código malicioso Dorifel, en el cual es posible visualizar la configuración como blanco de ataque, las direcciones web de dos entidades bancarias de América Latina.


Crimeware hecho en América Latina
En la actualidad, América Latina ha dejado de ser considerada una región sin importancia en materia de crimen cibernético y se ha transformado en una altamente potable para la comisión de todo tipo de delitos informáticos, pero con mayor impacto y relevancia, aquellos que están enfocados en el robo de información bancaria, dando lugar a un campo hostil para los usuarios que hacen uso de los recursos que ofrece Internet.

Desde hace varios años, los delincuentes informáticos más activos de América Latina han puesto en práctica, con un nivel de éxito alto, el modelo delictivo que mueve el engranaje del cibercrimen procedente de Europa del Este, desarrollando programas maliciosos y recursos que ayudan a automatizar los procesos de infección y control de equipos víctimas.

Países como Perú y México han sido los primeros en implementar recursos delictivos del tipo crimeware desarrollados para automatizar la tarea de recolección de información sensible de los usuarios bancarizados de toda América Latina. Sumándose Brasil, durante el 2011, con crimeware de similares características que no sólo son concebidas para controlar equipos infectados sino que también están pensadas para facilitar a los delincuentes digitales el “proceso de búsqueda y filtrado” de toda la información robada.

Considerando que particularmente Brasil es el mayor productor de programas maliciosos para el robo de información financiera, queda claro que el desarrollo de crimeware en la región tampoco es un capricho del cibercrimen regional sino que más bien una necesidad que facilita, a los delincuentes informáticos de la región, “la continuidad de negocio fraudulento”.

A pesar del desarrollo de diferentes crimeware sin demasiada demanda en el ambiente ciberdelictivo, son básicamente dos las amenazas regionales con mayor relevancia que aún en la actualidad operan con una tasa de éxito muy alta: vOlk Botnet y SAPZ.

En el caso de vOlk Botnet, se trata de un crimeware desarrollado durante el 2009 y de origen mexicano, mediante el cual el atacante puede controlar cualquiera de los equipos infectados que formen parte de su lista. Y si bien el malware que se propaga a través de esta aplicación maliciosa se basa en el robo de información bancaria, no es el único tipo de datos que forma parte de su estrategia. En la siguiente imagen se puede visualizar la captura de información (nombre de usuario y contraseña) relacionada a direcciones de correo electrónico utilizadas a través de MSN.

Panel de vOlk mediante el cual se administra información robada.

vOlk Botnet es uno de los primeros crimeware nacidos en América Latina que actualmente cuenta con una demanda alta dentro de la comunidad delictiva de la región. La última versión activa es la 5.0.2 que se comercializa a un costo que ronda los 400 dólares. Asimismo, el “pariente ciberdelictivo” que cuenta con una muy similar tasa de demanda dentro de la comunidad maliciosa es SAPZ, de origen peruano y también liberado durante el año 2009. El nombre SAPZ es en realidad el acrónimo de “Sistema de Administración de Pcs Zombis”.

Panel de gestión de SAPZ en el que se aprecia la configuración de una ataque de direccionamiento forzado del tráfico web hacia una página maliciosa.


Podemos, en consecuencia, afirmar que tanto México como Perú, constituyen la cuna que vio nacer a los primeros crimeware de la región, pero que sin lugar a dudas no fueron los únicos. A principios del año 2011, también se descubrieron otros tres crimeware, de origen peruano, mexicano y otro originado en Brasil.

En el caso de México, se trata en realidad de una versión modificada de la versión 4.0 de vOlk, denominada “Chimba”. En el caso de Perú, se reportó el descubrimiento de “UELP@” y desde Brasil, uno de los primeros crimeware originado en ese país: “Faillure”.

De origen peruano, UELP@” roba información sensible de los usuarios y al igual que los casos anteriormente mencionados, permite al atacante tomar el control total de la computadora.

Faillure constituye uno de los primeros crimeware “made in Brasil”.


Ataques complejos vs ataques triviales
Si bien los ataques originados a través de crimeware desarrollado en Europa del Este es mucho más complejo desde la perspectiva técnica (por ejemplo, permiten interceptar transferencias bancarias en tiempo real), las maniobras empleadas por el crimeware regional se limita, como complemento de ataque activo, a la manipulación arbitraria del archivo llamado “host”. Este tipo de ataques es conocido como pharming local.

El método de Pharming local modifica el archivo “host” que se encuentra en todos los sistemas operativos para redirigir a la víctima a un sitio web fraudulento que es un clon del sitio web de la entidad bancaria habitualmente empleado por las potenciales víctimas.

Configuración de ataque de Pharming Local desde el panel de administración de vOlk Botnet.


En conclusión, sabemos que las maniobras delictivas que movilizan el engranaje fraudulento del cibercrimen ya se han implantado en América Latina. Lo cual provocará que paulatinamente vayan apareciendo nuevos crimeware que intentarán alimentar la demanda de programas maliciosos con especial énfasis en la región.

Lamentablemente el sólo hecho de tener “presencia en Internet” nos convierte en potenciales víctimas de la delincuencia digital ¿Cómo podemos protegernos? A pesar de que la pregunta es bastante trivial, guarda un manto de complejidad, y la respuesta puede ser tan engorrosa como la versión utópica de una Internet libre de amenazas. Por lo que, en función del amplio volumen y complejidad en torno al desarrollo de malware es de suma importancia la implementación de una adecuada solución de seguridad antivirus que permita convivir en la selva de Internet de forma más tranquila.








Ver más