martes, 27 de octubre de 2009

Brasil: tierra rica en “bankers”


Quien alguna vez se haya dedicado al análisis del código de los programas maliciosos que roban los datos de los clientes bancarios estará de acuerdo en que Brasil es uno de los países donde se escribe la mayor cantidad de bankers. Pero... ¿por qué es precisamente Brasil el líder en la creación de este tipo de programas nocivos? ¿Quién está detrás de estos delitos y cuál es el retrato típico del delincuente virtual? Al analizar las peculiaridades del código malicioso escrito en Brasil, aventuraremos algunas hipótesis sobre el asunto. ¿Por qué precisamente Brasil?Brasil es el país más grande de América Latina y tiene cerca de 200 millones de habitantes. Aproximadamente un tercio de la población - unos 70 millones de personas - usan Internet, y este número no para de crecer. En Brasil son muy claras las diferencias sociales entre la gente muy pobre, la que vive con cierta holgura y los ricos. En esta situación, la riqueza de unos provoca que los otros (de escasos recursos) ejerzan actividades ilegales, como por ejemplo, escribir programas maliciosos que permiten robar la información de las cuentas bancarias de los clientes. Tomando en cuenta que en este país está bastante desarrollado el sistema de banca electrónica, este tipo de actividades delictivas puede ser atractivo para muchas personas. Además, la legislación brasileña carece de mecanismos que permitan acciones efectivas contra los delincuentes cibernéticos. Los bancos más grandes de Brasil son Banco do Brasil, que ofrece servicios de banca electrónica por Internet a 7.900.000 personas; Bradesco, que los ofrece a 6.900.000 clientes; Itaú, a 4.200.000 personas y Caixa, a 3.690.000. Esta es una cantidad de usuarios lo bastante grande como para inspirar a los delincuentes: incluso si el porcentaje de ataques lanzados con éxito por los ladrones virtuales es pequeño, la ganancia de los delincuentes puede ser muy elevada.Blancos de ataquePor desgracia, muchos usuarios de diferentes bancos se convierten en víctimas de los delincuentes cibernéticos.

Distribución de los programas maliciosos que roban información personal a los clientes de diferentes bancosComo se aprecia en el diagrama, la mayor parte de los programas que roban dinero de las cuentas bancarias afectan a los clientes de los bancos Bradesco, Caixa, Banco do Brasil e Itaú. Algo que era de esperar, teniendo en cuenta que se trata de los bancos más grandes de Brasil, cuyos servicios son utilizados por millones de personas.Aparte de la cantidad de clientes, los mecanismos de defensa que usan los bancos influyen en el interés que los delincuentes puedan prestar a uno u otro banco. ¿Qué hacen los bancos para garantizar la seguridad de las transacciones de sus clientes? Muchos bancos, antes de otorgar al usuario acceso a su página, le piden instalar en su equipo el plugin G-Buster, cuya tarea es prohibir el funcionamiento de cualquier código malicioso en el equipo del cliente en el momento de la autorización o de la transacción. En particular, los bancos Caixa y Banco do Brasil usan sólo este mecanismo para garantizar la seguridad. Desgraciadamente, como veremos más adelante, la presencia del plugin G-Buster en el sistema no garantiza de ningún modo a los clientes una interacción libre de peligro con el banco a través de Internet.Otros bancos, como Itaú, ofrecen a sus clientes otros medios de seguridad, además del plugin mencionado: dispositivos token o las así denominadas tarjetas de seguridad.
Además, el banco Bradesco ofrece a sus clientes una forma más de defensa: para cada cliente se genera un par único de llaves digitales (certificados). Una de las llaves se almacena en el equipo del cliente y se recomienda guardar la otra en un dispositivo de memoria externo. En el momento en que el equipo del usuario se conecta al sitio del banco, el sistema le pide que indique la ruta al segundo certificado. Para obtener acceso, el cliente debe conectar al equipo el dispositivo extraíble donde se encuentra el segundo certificado, por ejemplo, una memoria flash.Sobre las ventajas y defectos de los diferentes tipos de autenticación en la banca electrónica ya habíamos escrito en nuestro blog. Teóricamente, estos mecanismos deben ser suficientes para garantizar la seguridad de los usuarios. En la práctica, como veremos más adelante, no lo son. Por desgracia, los mecanismos de defensa utilizados, o bien no garantizan la seguridad total de los clientes, o hay que pagar para adquirirlos, y los usuarios no quieren hacerlo. Por ejemplo, para que el cliente del banco pueda usar el token, debe comprarlo. Y por esta precisa razón muchos clientes se niegan a usar este dispositivo, con lo que se vuelven vulnerables a los ataques de los delincuentes. ¿Pero qué métodos usan los delincuentes para infectar en masa los equipos de los usuarios? Sitios infectadosEl principal medo de difusión de los programas maliciosos son las páginas web. Para descargar los programas maliciosos, los delincuentes irrumpen en páginas legítimas de dominios registrados en todo el mundo y usan servicios de hosting temporal o gratuito. Hay que subrayar que como hosting gratuito para la colocación de programas maliciosos con frecuencia se usan los dominios de la compañía rusa RBC Media: nm.ru, pocht.ru, etc. En algunos casos, cuando los estafadores planean algún golpe particularmente grande y necesitan no un sitio temporal, sino un recurso de larga duración, se usan hostings capaces de determinar la dirección IP de la víctima potencial. El saber la dirección IP del usuario que llega a la página infectada permite al delincuente llevar a cabo ataques dirigidos y camuflar los programas maliciosos para confundir a las compañías antivirus.Pero no se les otorga acceso a los códigos binarios maliciosos a los especialistas en seguridad en Internet que no viven en los países de América Latina. En la mayoría de los casos se les mostrará fotos de muchachas brasileñas. ¿Cómo se topan con las páginas web infectadas los clientes de los bancos? Pues los atraen mediante mensajes spam compuestos según los métodos clásicos de ingeniería social. A veces estos mensajes pretenden hacerse pasar por mensajes supuestamente enviados por el banco, o por noticias de última hora relacionadas con la vida social del país. Y por supuesto, se hacen envíos masivos de spam porno. Pero en todos los casos los vínculos del mensaje spam conducen a páginas infectadas.Los “ataques brasileños”Es importante remarcar que los "bankers" brasileños no se propagan como ficheros aislados, sino que durante el proceso de inoculación se instala una serie completa de programas maliciosos. Los delincuentes en realidad efectúan un ataque multidisciplinario, sin concentrarse en la información bancaria. El esquema clásico de propagación de la infección tiene el siguiente aspecto:

Esquema clásico de infección de los equipos de los clientes de diferentes bancos Todo empieza con un troyano ubicado en el servidor, que descarga e instala en el sistema del usuario todos los demás programas maliciosos:
un programa que roba los datos de los usuarios de redes sociales;
un programa que lucha contra los antivirus;
uno o dos bankers que deben monitorizar todas las conexiones con los bancos, interceptarlas y enviar la contraseña y el nombre del usuario a los delincuentes. Redes socialesHoy en día, las redes sociales se han convertido en una importante fuente de prácticamente cualquier tipo de información sobre el usuario. El nombre completo, la fecha de nacimiento, el lugar de residencia, etc. son datos que los delincuentes usan con gran habilidad para llamar al call center del banco y obtener el código pin del usuario. La red más popular en Brasil es Orkut. Esta red cuenta con cerca de 23 millones de usuarios en todo el mundo, de los cuales un 54% vive en Brasil. Es una gran cantidad, ¿no? Y son precisamente los usuarios de esta red social los que sufren con más frecuencia los ataques de los delincuentes.

Fragmento del código creado para robar las contraseñas de los usuarios de la red social Orkut Como regla, los delincuentes reciben los datos personales de los usuarios y la contraseña de la red social por correo electrónico. La lucha contra los medios de defensaPero ¿de qué manera luchan los delincuentes contra los antivirus y con el plugin G-Buster instalados en los equipos? Le recordamos al lector que la función expresa de este plugin es garantizar la seguridad de las transacciones de los clientes de un gran número de bancos. Para evitar que los programas maliciosos eliminen G-Buster, sus fabricantes usan una tecnología rootkit para incrustarlo en lo más profundo del sistema. Pero los delincuentes, para contrarrestar esta medida, hacen uso de programas legales creados para luchar contra los rootkits. El programa más popular de este tipo es Avenger. Al infectar un equipo, el programa troyano-descargador instala en el sistema este utilitario junto con un listado de los ficheros a eliminar (una especie de instrucción). Todo lo que necesitan hacer los delincuentes para eliminar del todo el plugin es ejecutar el utilitario y reiniciar el sistema.

Código de eliminación del plugin G-Buster mediante el utilitario antirootkit legal Avenger El único parámetro del utilitario es la ruta y los nombres de los ficheros a eliminar. Como podemos ver en la captura de pantalla, en este caso el plugin G-Buster puede ser eliminado sólo en los sistemas operativos en portugués o inglés. Una vez reiniciado el sistema operativo, se elimina el plugin original y en algunos casos se lo reemplaza por un plugin adulterado con funciones nocivas. El plugin sustituido le da al usuario la posibilidad de obtener acceso a la cuenta bancaria, y al mismo tiempo roba sus datos para enviárselos a los delincuentes.Y el mismo método (el antirootkit Avenger con un listado detallado de las rutas de los ficheros que se eliminarán al reiniciarse el equipo) se usa para eliminar los antivirus instalados en el sistema del usuario. El robo de datosEl programa troyano-banker instalado en el equipo del usuario espera a que se haga una transacción para interceptar los datos de acceso a la cuenta bancaria de la víctima y los envía a la dirección electrónica de los delincuentes, a un servidor FTP o a un servidor remoto de bases de datos.

Parte del código que se encarga de enviar los datos robados a un servidor remoto de bases de datos

Fragmento de la base de datos (cuentas robadas por los delincuentes a los usuarios)

Fragmento de la base de datos del banco Bradesco (datos de los clientes robados por los delincuentes cibernéticos) En las figuras de arriba se muestran fragmentos de bases de datos reales, donde se almacenan los datos de los clientes: nombre del usuario, contraseña, certificado de seguridad, etc. No obstante, los delincuentes no se limitan a robar la información bancaria y de acceso a las redes sociales. Con gran frecuencia tratan de obtener la dirección MAC de la tarjeta de red, la dirección IP, el nombre del equipo y otros datos que se pueden utilizar para conectarse al banco. De esta manera tratan de ponerse fuera de peligro y de involucrar a sus víctimas: en caso de que el banco inicie una investigación, los registros (logs) mostrarán como si hubiese sido el cliente quien recibió o transfirió el dinero a otra cuenta. Las direcciones de correo electrónico y las contraseñas usadas en el equipo infectado también son un buen bocado para los delincuentes. En primer lugar, porque muchas veces la contraseña y la dirección son las mismas para las cuentas de las redes sociales. Y como ya hemos mencionado, esto abre grandes posibilidades para los siguientes delitos. Además, las mismas direcciones pueden haber sido registradas en el banco como las direcciones electrónicas oficiales de contacto con el cliente. En estos casos, los bancos confiarán en estas direcciones. Es fácil imaginarse todo lo que pueden hacer los delincuentes al tener en sus manos estas direcciones. Para robar las contraseñas de correo, los delincuentes también suelen usar programas legales, que sirven para ayudar a los usuarios a recuperar sus contraseñas en caso de que las hayan olvidado. Estos programas pueden leer las contraseñas guardadas en los programas de correo electrónico más difundidos: Microsoft Outlook, Microsoft Outlook Express etc. Las direcciones de correo electrónico y sus contraseñas se envían a servidores web remotos.

Fragmento del código donde se ve cómo se envían las direcciones a un servidor web remoto

Los datos robados por los delincuentes se almacenan en el servidor web Un retrato del delincuenteDespués de obtener los datos personales de los usuarios y el acceso a sus cuentas bancarias, los delincuentes cibernéticos -si se trata de grandes sumas de dinero- echan mano de las "mulas", a través de cuyas cuentas se realiza la primera transacción desde la cuenta de la víctima. A su vez, las mulas envían el dinero a terceras cuentas, a cambio de un determinado porcentaje de la suma. Cuando se trata de robar pequeñas sumas de las cuentas (200-500 dólares), por lo general los delincuentes hacen transacciones directas a sus cuentas. Para tener una comprensión plena de quién está detrás de estos delitos, hay que analizar los siguientes hechos:
casi todos los ejemplares de bankers están escritos en Delphi.
algunos de los ejemplares están infectados por virus, Virut o Induc.
en algunos casos, para propagar los programas nocivos se adulteran páginas web legítimas. Después de analizar los programas de estudio de las universidades de Brasil, queda claro que Delphi no está entre los idiomas de programación enseñados en las universidades. Para programar en Delphi no hay que estudiar en la universidad, sino en cursos de programación o en institutos de artes y oficios. Esto significa que no es imprescindible que los delincuentes cuenten con educación superior y puede ser gente bastante joven. El que los ejemplares estén infectados con virus como Virut también puede ser un indicio de que los equipos de los delincuentes también están infectados. Muy a menudo las fuentes de estas infecciones son sitios web con cracks para software, números de serie de programas, contenidos pornográficos y redes p2p. Lo más probable es que sean estos sitios y programas los más usados por los delincuentes. En Brasil, los visitantes de estos sitios son sobre todo los jóvenes y esto puede ser un indicio indirecto de la edad relativamente joven de los delincuentes cibernéticos, aunque en la piratería de software puedan estar involucradas personas de diferentes edades. El hecho de que los delincuentes irrumpan en páginas web legítimas evidencia que trabajan en equipo. Cada miembro del equipo tiene su especialización: hacking, programación de código malicioso, etc. De esta manera, suponemos que los ataques cibernéticos contra los clientes de los bancos brasileños no son realizados por delincuentes solitarios, sino por grupos delictivos conformados por jóvenes de familias pobres. La ambición por el dinero fácil y rápido determina el contenido de sus vidas: escribir un código malicioso, infectar a los usuarios, robar dinero, gastarlo y empezar de nuevo. Este es un círculo vicioso, que a los jóvenes se les hace muy difícil abandonar. Una reciente investigación llevada a cabo por la policía de Brasil, y que terminó con la detención de los delincuentes, confirmó nuestras suposiciones. Abajo ponemos las fotografías de los detenidos.

Fotografías de los delincuentes cibernéticos (archivos de la Policía Federal del Brasil)Al parecer, hemos hecho un retrato más o menos fidedigno de los delincuentes. Pero no todo es tan simple.La huella rusaLos típicos bankers brasileños tienen una serie de peculiaridades características: el enorme tamaño de los ficheros, renglones del código en portugués, etc. Pero con determinada regularidad en el flujo común surgen especímenes excepcionales. Estos bankers están hechos de tal manera que a primera vista no se diferencian en nada de los modelos clásicos: no sólo atacan los mismos bancos, sino que los nombres de los ficheros pueden ser los mismos que usan los delincuentes brasileños. Pero a pesar de todo, un análisis más profundo hace patente una serie de diferencias sustanciales:
el tamaño del fichero se ha optimizado;
el sistema operativo donde se realizó la compilación no estaba en portugués;
los datos robados se envían por canales protegidos. ¿Quién está detrás de estos bankers? ¿Serán también delincuentes brasileños graduados por universidades? Lo más probable es que no lo sean. En primer lugar, en vez del clásico Avenger, se usa otro antirootkit llamado Partizan para eliminar el plugin de seguridad. Este antirootkit es parte del programa UnHackMe, que también tiene una versión en ruso. En segundo lugar, como ya hemos mencionado, en el código no hay ningún renglón en portugués. Y en tercer lugar, después de analizar el canal seguro de transmisión de datos, descubrimos una interesante información de registro:

Información de registro de una de las conexiones usadas para el envío de datos bancarios robados ¿Quién podría estar detrás de estos ataques? A primera vista todo parece indicar que se trata de creadores brasileños de virus. Y si se inicia una investigación penal, se buscará a los delincuentes en Brasil. Al mismo tiempo, a juzgar por la información de registro y algunas de las otras características (por ejemplo, el idioma de programación, el tamaño del fichero y los renglones del código, en este caso son delincuentes rusos quienes roban el dinero de los clientes de los bancos brasileños. Y esto ya es como si a los brasileños les estuvieran metiendo un gol.ConclusiónLa policía brasileña está efectuando una seria labor dirigida a la captura de los delincuentes cibernéticos. Entonces surge la pregunta: ¿por qué el número de programas nocivos sigue aumentando cada día que pasa?Es posible que la raíz del problema esté en la forma en que reaccionan los bancos cuando sus clientes se convierten en víctimas de robo. Hoy en día, los bancos tratan de evitar que estos casos tengan fuerte resonancia. Si algún cliente pierde su dinero, como resultado de que su equipo fuera infectado por un código malicioso, los bancos prefieren compensar el dinero perdido sin hacer una investigación pública seria. Y simplemente se le recomienda al cliente formatear su ordenador y reinstalar el sistema operativo. Además, existen problemas de intercambio de información entre las policías cibernéticas de los diferentes estados de Brasil. Hacemos hincapié en que este problema no sólo afecta a Brasil, sino también a muchos otros países del mundo. Uno de los factores del éxito de los delincuentes es el bajo nivel de conocimientos de los usuarios de los bancos en lo que se refiere a la seguridad en Internet. Mientras estén vigentes todos los problemas mencionados (el bajo nivel de conocimientos de seguridad de los usuarios de Internet, la política de los bancos, las premisas sociales y la inexistencia de una legislación bien elaborada), no se puede considerar que Internet sea un lugar seguro. Quizá los bancos deban gastar más en adquirir dispositivos complementarios para proteger a sus clientes, en lugar de ofrecérselos a cambio de un pago. A fin de cuentas esto permitiría reducir la probabilidad de que les roben a sus clientes, es decir, los gastos finales serían menores. A todas luces, es imprescindible elaborar nuevos esquemas de intercambio de información entre las compañías de seguridad informática, como también entre los ministerios de diferentes países. Y mientras no se haya establecido y puesto a punto esta colaboración, dudo que sea posible lograr una reducción considerable de la cantidad de delitos cibernéticos. Autor: Dmitry BestuzhevFuente: Viruslist