Zeus mejora su ingeniería social: la transferencia “ficticia”

La familia Zeus solía modificar las pantallas de los infectados
para pedir la tarjeta de coordenadas completa. Así podían validar
transferencias y robar a sus víctimas. A medida que los bancos van
implantando los SMS como método de validación, Zeus mejoró incluyendo el
envío del troyano al móvil e interceptando los SMS (man-in-the-mobile).
Pero esto sólo es válido para BlackBerry y Android, además de que muchos
usuarios se mostraban recelosos. ¿Cómo han solucionado este problema?
Con un genial movimiento de ingeniería social.

Zeus y SpyEye ya han hecho frente en el pasado al “problema” que les
supone la autenticación por móvil en la banca electrónica. Envían a
sus víctimas un troyano al móvil, para interceptar así el código de
validación en los SMS. De eso ya hemos hablado no hace mucho aquí:
torio/405.

Sin embargo, últimamente han desarrollado una técnica no tan sofisticada
técnicamente, sino basada en lo que siempre parece el punto más débil:
el usuario y su credulidad. Así, estas versiones funcionan de la
siguiente manera. Cuando el usuario se presenta en su página de banca
electrónica (y sólo cuando se presenta, no antes) el troyano se activa.
Lo primero que hace es interpretar la página del banco concreto,
buscando las cuentas que almacenen una mayor cantidad. Esta información
la envía a un servidor externo con la siguiente petición HTTP:

http://atacante.com/image/jpg/get.php?country=BANCO&amount=1234.56&login=123456

Donde “country” es el banco atacado, “amount” la cantidad que guarda la
cuenta de la víctima y “login” el login de usuario en la banca oline.

Después, muestra esta pantalla (incrustada en la original):

En ella se insta al usuario a realizar un “test” para probar el sistema
de SMS de la banca. Bajo la premisa de una transferencia ficticia, se
invita al usuario a que pruebe los beneficios del método de validación
por móvil. El lenguaje, comparándolo con otro tipo de estafas, está
relativamente cuidado.

Si el usuario decide continuar (no tiene otra opción, puesto que si
cierra la pantalla no podrá acceder a su banca online), aparecerá este
otro mensaje

En ella se hace una transferencia a un beneficiario (el mulero) del que
incluso se muestran las últimas cifras de la cuenta. La transferencia es
invariablemente por valor de 3.000 euros, e invita al usuario a
validarla con el mensaje que ha recibido en su móvil. Lo que está
ocurriendo es que el troyano está realizando realmente la transferencia,
pero a través de una “interfaz” creada por él, usando los recursos del
banco. O sea, al teléfono llegará realmente un mensaje legítimo generado
por la entidad y si lo introduce y valida, el efecto será exactamente el
mismo que si el usuario hubiese realizado la transferencia de forma
habitual desde su portal.

Esta ingeniosa e interesante manera de engañar al usuario está teniendo
cierto éxito, y supone un paso muy interesante en la evolución de esta
familia y su uso de la ingeniería social.

El resto de comportamiento “técnico” del troyano Zeus, es el “habitual”:
se inyecta en Explorer.exe, descarga un archivo de configuración cifrado
desde alguna ubicación, envía los datos robados a un panel del atacante
donde quedan ordenados y clasificados, etc.
 Fuente