El Banco de la India, foco (involuntario) de infección

Visitando la página web legítima y real del banco, el usuario quedaba (irónicamente) infectado por varios troyanos bancarios destinados a robar sus contraseñas de acceso a la banca online.

SunBelt destapaba el problema. La página web del Banco de la India mostraba en su código varios IFRAME inyectados, de forma que quien la visitaba acudía (de forma automática y transparente) también a otras webs sin “quererlo”. Desde esos “marcos” (IFRAMES) “ocultos” en la web, al ser cargados con el navegador, se intentaban aprovechar varias vulnerabilidades de sistema conocidas para descargar y ejecutar troyanos bancarios.

Es un tipo de ataque muy similar al que describimos aquí en junio de este mismo año y que afectó a más de 11.000 páginas europeas. En esa ocasión, Mpack estaba detrás de este ataque, y consiguieron tal volumen de webs comprometidas porque se tuvo acceso a un servidor italiano que las alojaba a todas.

En esta ocasión, parece que han tenido acceso de alguna forma al servidor del Banco de la India y los Windows no actualizados que la visiten quedaban infectados por hasta 22 tipos de malware distintos (la mayoría destinados a robar contraseñas o enviar correo basura). El ataque consiste en una primera descarga y ejecución de un “loader.exe” y es este (una vez con el control de la víctima) quien se encarga de descargar otro tipo de malware e infectar al sistema. Son varios los IFRAME incrustados, y por tanto varias las webs que intentan de alguna forma infectar al sistema a través de código JavaScript ofuscado.

Algunas URL de los atacantes han sido ya desactivadas, pero otras permanecen todavía online. El Banco de la India ha “limpiado” ya su página web, pero el ataque y los IFRAME han permanecido entre 5 y 10 horas en su código web (en horario comercial de la India), accesible a todo visitante.

Los datos robados van a parar a un FTP en Rusia. Como curiosidad, uno de los troyanos que infecta a las víctimas busca archivos catalogados como “en cuarentena” por el motor antivirus de turno en los sistemas de los infectados y los sube al servidor FTP del atacante.

Siempre hemos hablado de la posibilidad de que páginas de confianza sufran ataques y se conviertan en foco de infección. En esta ocasión llama la atención que sea precisamente la página de un importante banco la que haya visto eludida toda su seguridad y convertido en un irónico foco de infección de troyanos bancarios.

Aunque queramos pensar que la importancia (y presupuesto) de una web está indiscutible y directamente relacionada con su nivel de protección, desgraciadamente no siempre es así. La seguridad se fundamenta en muchos factores, y no siempre el dinero podráprotegerlos todos eliminando cualquier riesgo. Este no es el primer ejemplo ni será el último, desde luego.

En cualquier caso, el Banco de la India se enfrenta ahora, una vez que (tras un tiempo quizás excesivamente largo) ha eliminado el foco, a un serio problema de confianza ante sus clientes y a una profunda revisión de sus sistemas de seguridad (e incluso, de su plantilla).