Os resumo aquí algunas de las nuevas formas utilizadas por los ciberdelincuentes para atacar cuentas bancarias, y otras.
Sistemas de transferencia automática (ATS) (Automatic Transfer Systems)
ATS es una de las técnicas más nuevas empleadas por el malware bancario con la que que no mucha gente está familiarizada. Para apreciar plenamente la complejidad de ATS tenemos que echar un vistazo a un breve historial de malware financiero y cómo recolectan la información de inicio de sesión de los bancos, algunos virus tipo Formgrabbing y Webinjects.
Formgrabbing
Un formgrabber es un módulo malicioso que se inyecta en el navegador del usuario y modifica el flujo de código para interceptar las solicitudes POST entre la presentación de formularios y el cifrado SSL / TLS; Como resultado, el malware formgrabbing es capaz de interceptar las solicitudes HTTPS antes de que se cifran, por lo tanto, puede registrar nombres de usuario y contraseñas para sitios HTTPS como PayPal, bancos, etc. Todas las credenciales interceptadas serían enviadas de vuelta al servidor de C & C, donde lo más probable es que fueran vendidas masivamente a otros criminales dispuestos a usarlos. Aunque los formgrabbers funcionan bien para la mayoría de los sitios que sólo requieren nombres de usuario y contraseñas, los bancos generalmente requieren información adicional durante el inicio de sesión para evitar el uso de credenciales robadas.
Webinjects
Los Webinjects son una extensión de los formgrabbers que agrega la capacidad de interceptar respuestas de la web, facilitando grandemente la capacidad del formgrabber de obtener credenciales interceptando peticiones. Una respuesta se puede modificar después de que el navegador lo haya descifrado pero antes de que se muestre al usuario, permitiendo que el malware modifique cualquier contenido de la página para cualquier sitio que el usuario visite. El objetivo principal de los webinjectos es agregar campos en los formularios de inicio de sesión de los bancos a las solicitudes de información adicional que se requiere para iniciar sesión, y cuando el formulario se envía es recogido por el formgrabber. Veamos un ejemplo de cuándo son útiles los webinjects: mi cuenta bancaria personal requiere una segunda contraseña para iniciar sesión y dirá algo así como "introduzca caracteres 2, 6 y 7", si la solicitud fue interceptada, entonces el C & C sólo tendría los caracteres 2, 6 y 7 de la contraseña almacenados, pero la próxima vez puede ser que el banco pida los caracteres 1, 3 y 5, lo que hace imposible que alguien se conecte hasta que todos los caracteres hayan sido registrados (A la tasa de inicio de sesión en la banca online, esto tardaría muchos meses). Una solución a este problema sería para los webinjects agregar un mensaje a la página de inicio de sesión que dijese algo así como: "Para confirmar su identidad, por favor, introduzca su contraseña secundaria completa" seguido de un cuadro de texto, luego al iniciar sesión toda la información requerida sería interceptada por el formgrabber y enviada a la C & C.
El principal problema con los webinjectos estándar es que son completamente inútiles para los bancos que utilizan dos factores de autenticación (2FA). Si un banco envía un código único de una sola vez al teléfono de un cliente que debe ingresar para iniciar sesión, no hay información adicional que puedan solicitar los webinjecterss, y aunque la modificación de la página web pudiera solicitar que la víctima envíase su número de teléfono y código PIN a una dirección oculta de Rusia, es poco probable que logre engañar a mucha gente.
Sistema de transferencia automática (ATS)
Bajo el nombre ATS se engloban una serie de variantes de webinjects cuyo propósito, en lugar de reunir credenciales para su posterior uso/venta, se encargan directamente de iniciar ellos automáticamente transferencias electrónicas desde la computadora de las víctimas (todo sin necesidad de registrar sus credenciales, eludir la 2FA y todas las medidas antifraude).
Una vez que la víctima entra en su cuenta normalmente, los webinjects inyectan una secuencia de comandos que enviarán al C & C información tal como número de cuenta, balance bancario e ID exclusivo del bot. A partir de aquí se tomará una decisión sobre si iniciar una transferencia basándose en factores como el saldo bancario y si hay "mulas" disponibles para recibir la transferencia (las "mulas" son personas responsables de manipular y lavar los fondos robados). Si el malware decide que se puede enviar la transferencia, el script rellenaría automáticamente los campos necesarios de una transferencia con una cantidad y el número de cuenta bancaria de la mula, y luego enviará la solicitud a la cuenta bancaria registrada de la víctima (las transferencias podrían iniciarse a través de XMLHttpRequest o modificando algo como una página de bienvenida, que contuviera el formulario de la transferencia pre-rellenado pero oculto de la vista, que luego se enviaría cuando el usuario haga clic en el botón "Cerrar"). Una situación de la que se benefician las ATS, se produce cuando los ciberdelincuentes buscan robar dinero de cuentas corporativas seguras. Si una cuenta requiere que las transferencias sean aprobadas utilizando otro código de un solo uso, ya que el propietario de la cuenta está conectado actualmente, sería bastante sencillo para el script ATS inyectar un pop-up diciendo algo así como "tu sesión ha concluido. Te enviamos un nuevo código de un solo uso para que puedas acceder de nuevo. Pulsa aquí para continuar ", luego pasa ese código a la secuencia de comandos ATS para aprobar silenciosamente la transferencia. También es posible que los ATS / Webinjects "corrijan" el saldo de la cuenta visible en pantalla, y cualquier página que contenga información sobre la transferencia, para ocultar los fondos robados por el sistema, dejando a la víctima completamente inconsciente de que ocurrió algo hasta que se conecte a una computadora que no haya sido infectada.
Conclusión
Debido al hecho de que los script ATS deben ser individualmente adaptados y mantenidos para cada banco, y la gran cantidad de "mulas" de dinero requeridas para mantener el flujo de efectivo, el malware que hace uso de ATS es todavía bastante raro y en su mayoría restringido a grandes grupos como el que está detrás del Malware de Dridex.