Una empresa especialista en seguridad de contenidos de internet ha detectado un ataque de spam que ha tenido gran credibilidad entre los usuarios debido a la crisis que sacude los mercados internacionales
Los afectados recibían un email para instalar un supuesto certificado de seguridad de su entidad bancaria y lo que descargaban era un troyano, que registraba las secuencias del teclado, robando el nombre y contraseñas del usuario de banca online.
El 12 de septiembre, el equipo de investigación de Trend Micro descubrió un esquema de phishing espía dirigido a Wachovia Bank. Aparentemente aleatorio, este ataque de spam resultó ser sólo el primero de una serie, que comenzaron con un spam del Bank of America el 9 de septiembre de 2008 y continuaron con el banco de inversi´no Merrill Lynch a finales de mes.
El mensaje de spam hacía que los clientes online de Wachovia Bank instalaran de forma manual el 'Wachovia Security Plus Certificate' para tener acceso seguro a los nuevos servicios online de la entidad.
Al hacer clic en el enlace se descargaba un archivo que el usuario podía ejecutar o guardar según prefiriera. Por supuesto, al ejecutarlo no le daba un acceso seguro a absolutamente nada, sino que descargaba un trojano que robaba su claves sin que el usuario se diera cuenta.
¿Que pasaba cuando se descargaba el troyano
El troyano descargado realizaba las siguientes rutinas durante la ejecución:
1. Descargaba dos ejecutables (también identificados como TROJ_AGENT.AINZ) y los ejecutaba directamente.
2. Instalaba un ejecutable (también TROJ_AGENT.AINZ) y un archivo de sistemas (TROJ_ROOTKIT.FX, un componente de rootkit).
3. Creaba y modificaba las entradas del registro para ejecutar automáticamente los archivos descargados e instalados.
4. Borraba las cookies de las sesiones del navegador.
Juntos, troyano y rootkit registraban las pulsaciones del teclado realizadas por los usuarios al capturar información dentro del navegador Internet. La rutina de eliminación de cookies obligaba a los usuarios a capturar los datos nuevamente (incluso después de activar la función "Recordar Contraseña". Es entonces cuando TROJ_AGENT.AINZ enviaba la información recopilada a un site ubicado en Alemania a través de un post HTTP.
Los autores de este ataque crearon un rootkit (TROJ_ROOTKIT.FX) para asegurarse de que la rutina de robo de información procedía completamente sin que el usuario lo supiera. Este rootkit, como la mayoría de ellos, oculta los procesos, por lo que al intentar verlos a través del Administrador de Tareas o incluso el Explorador de Procesos (una herramienta avanzada de visualización de procesos de los PCs) no se detectaban, ni se ponía de manifiesto la ejecución de rutinas maliciosas.
Asimismo, el rootkit también oculta archivos para cambiar la configuración de las "Opciones de Carpeta…" de Windows Explorer mostrando todos los archivos. Los rootkits además, realizan la mayoría de los cambios del sistema al manipular el registro del sistema - y después ocultan estas entradas del registro modificadas-. Estas capacidades hacen de los rootkits un componente del código malicioso muy atractivo para las amenazas Web.
¿Y, después?
Poco después del spam de Wachovia, Trend Micro encontró otro ataque de spam, esta vez suplantando a Merrill Lynch, que empleaba la misma táctica, aprovechándose de las preocupaciones por la seguridad de los usuarios de banca online.
El que la URL del enlace del supuesto certificado de seguridad pareciese legítima, aumentó la credibilidad y la eficacia de ambos ataques.
[tags]Trend Micro,Crisis[/tags]