Dmitry Tarakanov de Kaspersky ha descubierto un nuevo plugin para SpyEye (una de las familias de troyanos bancarios más utilizados) que permite grabar a través de la cámara del ordenador imágenes del usuario mientras está siendo robado por el troyano.
Existen alrededor de 40 plugins diferentes para la rama 1.3 de SpyEye, que es la más usada en los últimos tiempos. Uno de los últimos detectados se denomina “flashcamcontrol.dll”. Esta librería modifica los permisos de FlashPlayer para permitir a los documentos flash descargados desde cualquier página web, la grabación con la cámara y el micrófono sin pedir permiso al usuario.
Una vez infectado, cuando la víctima visita la página de su banco, descarga un fichero swf (flash) desde un punto controlado por el atacante y se inyecta en la web legítima del banco. Este fichero comenzará la grabación, enviándola a un servidor remoto a través del protocolo Real Time Messaging Protocol (rmpt). En realidad el atacante se asegura de que puede grabar con la cámara con otro fichero adicional llamado “camara_test.sfw”, que pregunta al usuario por otra cámara cuando no puede grabar a través de la definida por defecto.
¿Por qué grabar al usuario?
Tarakanov se plantea la utilidad de grabar al cliente mientras está siendo robado. Hoy en día, la mayoría de los bancos piden al usuario un dato adicional de autenticación cuando realizan una transacción, ya sea un código de una tarjeta de coordenadas o el código devuelto en forma de SMS por el banco. Los troyanos han solucionado este “problema” bien modificando la página web que la víctima “ve” en su navegador para que requiera todas las coordenadas de la tarjeta, bien infectando también el teléfono móvil. La última modalidad, la “transferencia ficticia” implica que al usuario se le indica que debe hacer una transferencia de prueba usando el código que el banco le enviará al móvil. En este esquema, es en realidad la víctima la que está realizando una transferencia al atacante sin que lo sepa, a través de una interfaz simulada. Por tanto, ¿qué aporta grabar al usuario durante este proceso? Tarakanov afirma que se desea estudiar cómo reacciona el usuario ante este esquema de ingeniería social.
Pero en realidad todo son suposiciones. Puede ser desde simplemente una prueba que no sirva para nada en el futuro, o puede tratarse del primer paso hacia una estafa mucho más elaborada, donde el atacante desee obtener información adicional sobre su víctima: sexo, edad… quizás el atacante quiera saber el modelo del móvil de la víctima, o entorno en el que se realiza la estafa. También es posible que, como teoriza Tarakanov, quieran estudiar las reacciones. Con esto podrían mejorar su ingeniería social. Por ejemplo, si muchos usuarios infectados llaman al banco tras observar la modificación “no esperada” de la página web en su ordenador, están perdiendo una potencial “víctima”. Así pueden conocer el punto débil de su esquema de ataque. Quizás no le interese tanto al atacante la imagen como el audio…
Lo interesante es que SpyEye y sus plugins siguen activos, desarrollándose y buscando nuevas vías con las que eludir los avances técnicos de autenticación de la banca electrónica. Ante la mejora de los dos factores de autenticación, a los atacantes les queda sobre todo trabajar en la ingeniería social, y este módulo puede que vaya encaminado hacia ese objetivo.
Fuente: Hispasec
Autor: Sergio de los Santos
Twitter: @ssantosv
Reproducción realizada con autorización de la fuente
Free images from FreeDigitalPhotos.net
Equipo de redacción del blog Derecho Informático que desde 2009 procura tener la información más actual para que estés bien informado con respecto a temas legales relacionados con las TIC.
Related posts
1 Comment
Deja un comentario Cancelar respuesta
Categorías
Suscríbete
Recibe nuestras noticias e información de forma diaria
En mi opinión, creo que la grabación tiene todo el sentido del mundo. ¿Por qué? Pues porque el atacante puede controlar lo que está haciendo la víctima en el momento de la estafa. Así, si la víctima se da cuenta y alerta la policía, el hacker puede tomar precauciones, y borrar sus huellas cibernéticas a fin de no ser descubierto.
Por otra parte, en mi humilde opinión, este tipo de actos encajan mejor en el tipo penal de la estafa que en el del robo. En el derecho español, el robo se caracteriza por el empleo de “fuerza” en las cosas o si media violencia o intimidación en las personas. Sin embargo, en este tipo de artimañanas, los hackers no te fuerzan a introducir el troyano en tu ordenador, si no que te lo pasan encubierto en otro archivo aparentemente inofensivo, y cuando te quitan el dinero, en realidad no te están atacando, te están induciendo a un error. Es decir, tu crees que a quien haces la transferencia es a tu mujer y en realidad es a un señor que se está frotando las manos en su casa.
De acuerdo con esto, el tipo de penal de la estafa se caracteriza porque una persona mediante un engaño te induce a un error para que hagas un acto disposición sobre la persona que engaña. En mi opinión encaja mejor aquí que en el robo.
blog.gonzalosanchez.es