Troyanos bancarios: nuevos enfoques contra sistemas de seguridad
Que el asunto de los troyanos orientados al fraude bancario se está poniendo muy serio es algo que podemos comprobar en Hispasec día a día en nuestro servicio VirusTotal.
Son literalmente cientos los que son analizados en el servicio cada día, y esta legión no está formada sólo por variantes de las familias ya clásicas (Bifrose, Goldun, Zagaban, Psyme, etc.) sino también por nuevos ejemplares que se suman a las filas de esta amenaza creciente.
Los códigos TAN (Transaction Authentication Number, Número de Autenticación de Transacción para los hispanoparlantes) son utilizados por algunas entidades bancarias como una forma para reforzar la seguridad a la hora de realizar operaciones desde las cuentas online. Básicamente se trata de claves de un solo uso que el usuario puede recibir de su entidad bancaria por ejemplo vía SMS (una vez por código) o por correo ordinario (una lista para varios usos). Teóricamente, este mecanismo de ‘doble autenticación’ ofrece una protección mayor que el uso de una clave de autenticación inicial con el banco más el uso típico de una secundaria para realizar operaciones.
Sin embargo, y como es natural, los desarrolladores de malware van modificando sus criaturas para adaptarse a nuevos retos. Otro representante de las anteriormente nombradas familias clásicas de troyanos, con denominación Kaspersky Trojan-Spy.Win32.Goldun.im, ha optado por añadir a sus múltiples capacidades (entre las que se encuentra funcionalidad rootkit para ocultarse convenientemente en el sistema) la captura de estos códigos de transacción para poder realizar sus actividades fraudulentas.
Este ejemplar utiliza un sistema sencillo man-in-the-middle, pero que si es convenientemente explotado, puede ser sumamente eficiente: interceptando la comunicación HTTPS con las entidades afectadas (en este caso dos bancos alemanes: Postbank y Deutsche Bank), captura el TAN que envía el usuario y seguidamente muestra un mensaje de error a la víctima. Mientras ésta se pregunta que demonios ha pasado, llega para el atacante el momento de hacer rápido uso de dicho TAN para poder acceder a la cuenta de la víctima, dado el periodo de vida limitado que tiene dicho código de transacciones.
Visto de forma global, en realidad este ejemplar de malware no constituye ninguna novedad técnica, pero pone de nuevo en evidencia que ningún sistema de protección es infalible a lo largo del tiempo contra la cada vez más agresiva acción de este tipo de amenazas.
Como de costumbre, ante este tipo de actividades lo recomendable es seguir al menos unas cuantas directrices técnicas, como mantener convenientemente parcheado el sistema operativo, usar un buen antivirus y un igualmente competente firewall personal. Sin embargo, lo más importante es aplicar el sentido común, sobre todo en lo referente a los hábitos de navegación y al tratar con el correo electrónico.