El Cuarteto de los Crímenes Bancarios

21 Oct 2013

Los troyanos bancarios son como las ratas, pateas un cubo de basura y saldrán corriendo para todos lados. Aunque seguramente siempre leas acerca de los mismos malvados programas; hay cuatro grandes troyanos que nunca desaparecen: Carberp, Citadel, SpyEye y, especialmente, Zeus.

trojans_title

Semánticamente hablando, no es muy correcto considerarlos sólo troyanos “bancarios”, ya que a veces lo que hacen no sólo tiene que ver con información financiera. De todas formas, estos malware suponen un gran problema: son realmente buenos a la hora de robar datos bancarios de los usuarios.

Es bastante difícil escribir una historia convincente sobre estos programas porque la mayoría de ellos hacen lo mismo. Sin embargo, a continuación hablaremos de cada uno de ellos.

Carberp

La versión original de este virus era el típico troyano diseñado para robar la información sensible de los usuarios, como credenciales bancarias o accesos a diferentes sitios. Carberp transmitía los datos robados a un servidor C&C, controlado por el creador del malware. Simple y directo. El único componente engañoso era el rootkit, que permitía que el troyano pase desapercibido en el equipo de la víctima. La siguiente generación de estos virus incluía plug-ins: uno que eliminaba el software antivirus de las máquinas infectadas y otro que intentaba destruir otros malwares, si es que existieran.

Las cosas empezaron a ponerse más interesantes cuando quienes lo fabricaron dieron al troyano la habilidad de cifrar la información robada mientras viajan de las máquinas infectadas al servidor C&C. Según los investigadores, este troyano fue el primero en infectar a través de un trabajo criptográfico al azar y no con una encriptación del tipo “static key”.

Carberp empezó a trabajar junto al famoso Exploit Backhole infectando a un gran número de equipos. Los creadores de Carperb, de hecho, hasta desarrollaron una aplicación específica para Facebook, que engañaba a los usuarios con vouchers de dinero online, en una típica estafa de ransomware. Fue a partir  de ese momento cuando comenzó a decaer, ya que las autoridades rusas arrestaron a ocho hombres sospechosos de controlar este malware.

Según los investigadores, este troyano fue el primero en infectar a través de un trabajo criptográfico al azar y no con una encriptación del tipo “static key”.

Aún así, Carberp no murió del todo. Antes, aquellos que quisiesen utilizar el troyano tenían que pagar hasta 40.000 dólares. Sin embargo, el año pasado se publicó el código fuente y ahora cualquiera que tenga los conocimientos suficientes puede tener acceso a este virus.

 

Citadel

Este malware es una versión del rey de los troyanos financieros, Zeus. Surgió, junto con otros, luego de que se publicará el código fuente de Zeus en el año 2011. La notoriedad de este troyano se debió a que los creadores desarrollaron un modelo de código fuente abierto que permitía a cualquiera revisarlo y mejorarlo (haciéndolo más malvado).

El grupo de delincuentes responsable de Citadel creó una comunidad de clientes y colaboradores a escala mundial, quienes conformaban intercambiaban ideas sobre nuevas funciones o códigos del malware. Algunas de las capacidades más fascinantes incluyen el cifrado AES de los archivos, la capacidad de eludir las páginas de rastreo, el bloqueo del acceso a páginas de seguridad en el equipo infectado o grabar vídeos sobre la actividad de los usuarios. Así, los miembros de esta red continuaron aportando nuevas y más dinámicas funciones para que el virus fuese más rápido y flexible, convirtiéndose en una herramienta perfecta para robar credenciales.

Citadel fue famoso hasta que Microsoft, junto a otras compañías, lanzó una operación que interrumpió el 88% de estas infecciones.

 

SpyEye

Se supone que SpyEye se convertiría en el competidor directo de Zeus. Pero, al final, no tuvo su mismo potencial, aunque también disfrutó de su minuto de gloria.

De hecho, algunas partes de la operación SpyEye se unieron a Zeus en un gran botnet bancario, que desapareció rápidamente aunque tuvo bastante éxito. Los atacantes utilizaron este malware contra la compañía Verizon, robando la información personal de los usuarios durante una semana sin que nadie lo notara. Además,SpyEye utilizaba los servicios de almacenamiento en la nube de Amazon para difundir el malware en sus campañas.

Finalmente, tres hombres fueron arrestados en el verano de 2012 por usar SpyEye para robar información bancaria. En mayo de este año, también se capturó, en Tailandia, a uno de los desarrolladores del troyano para extraditarlo, después, a EE.U.U., donde se enfrenta a una treintena de cargos por sus crímenes online. Desde entonces, no hemos sabido nada más sobre SpyEye.

 

Zeus

Con el nombre de un dios griego, este troyano es sinónimo de eficacia y precisión. Desde que se hizo público su código fuente en 2011, parece que todos los troyanos bancarios tienen algo de Zeus en ellos. No obstante, solo éste aparece en Wikipedia e, inclusive, en nuestro blog, Viruslist, donde existen más de 22 artículos sobre él. Tal es su popularidad que se podría escribir una novela tan extensa como  “El Quijote”, narrando cada una de sus fechorías; aunque sería prácticamente imposible relatar cada una de ellas.

Se dio a conocer en 2007, tras un ataque contra el Departamento de Transporte de EE.UU. Desde aquella campaña, Zeus ha infectado diez millones de equipos y robado cientos de millones de dólares hasta que sus creadores revelaron su código fuente. Desde entonces, cientos de individuos han acabado en la cárcel por participar en estafas utilizando este troyano. Además, este malware azotó numerosas víctimas, entre ellas bancos, agencias gubernamentales e instituciones públicas.

Zeus también se ha hecho famoso por su hermano pequeño, la versión móvil ZitMo, que es capaz de sortear los sistemas dobles de verificación que envían el código de acceso a través de un mensaje de texto. Por cierto, sus colegas, SpyEye y Carberp, también han desarrollado sus modelos móviles.

Dejando a un lado su faceta de troyano bancario, Zeus se ha convertido en uno de los malware más conocidos a escala internacional, solo precedido por Stuxnet.

Zeus ha infectado unos diez millones de equipos y robado cientos de millones de dólares hasta que sus creadores revelaron su código fuente

 

La protección

Cualquiera de estos “Cuatro Magníficos” comparten las mismas propiedades: eluden la detección del antivirus, interceptan las pulsaciones de teclado, almacenan información y, básicamente, hacen todo aquello que ayude a los cibercriminales a husmear en las cuentas de las víctimas y a transferir su dinero ilegalmente. Incluso, estos programas intentan instalarse en los dispositivos móviles para que los creadores accedan a los códigos de seguridad que envían las entidades bancarias a través de sms.

Entre otros tipos de malware, los troyanos bancarios son los más dañinos en términos financieros, es por eso que una buena solución de seguridad debe incluir herramientas que protejan a los usuarios de estos programas como “Dinero Seguro” de Kaspersky Lab, función implementada en las últimas versiones de Kaspersky Internet Security-MultiDevice Kaspersky PURE. Entérate de cómo activar esta funcionalidad con el siguiente consejo.