El acceso a la web de la NBC infectaba con troyanos bancarios
- Durante unas horas, la página oficial de la popular cadena
norteamericana NBC estuvo infectando con troyanos bancarios a los
sistemas Windows no actualizados que la visitaran. Este incidente se
suma a una larga lista de páginas populares de medios de comunicación
comprometidas.Hace unas semanas, se conocía que uno de los subdominios de Los Angeles
Times había sido infectado al menos durante mes y medio. Al menos, la
NBC ha sido comprometida solo durante unas horas. También otras de las
páginas de sus programas. Se detectó que varios sitios web incluían
IFRAMES de tamaño minúsculo que cargaban código que llevaba al visitante
al kit de explotación Red Kit. Aquí, el programa intenta explotar
(sorpresa) vulnerabilidades en Java (una muy reciente, CVE-2013-0422,
arreglada en la versión 11) y Adobe Reader. De tener éxito, el usuario
es infectado por una variante de Citadel (una familia de Zeus). El
troyano se encargará de modificar la web del banco y robarle las
credenciales (en la muestra se han encontrado como objetivo los más
populares de Estados Unidos) para realizar transferencias sin su
consentimiento. - Dancho Danchev ha observado los “whois” de algunos de los dominios. En
ellos, el email de registro aparece un viejo conocido
(to podría demostrar que esta banda está actuando en paralelo
a través de varios frentes y, sobre todo, a gran escala en Estados
Unidos. - Los binarios descargados eran muy poco detectados por los antivirus en
el momento en el que estaban siendo servidos. En el mejor de los casos,
siete motores lo detectaban a través de Virustotal. Google se encargó
rápidamente de bloquear la página y marcarla como peligrosa y Facebook
bloqueó el acceso desde su portal.Fines y mediosUna vez más, nos presentamos antes un ataque en el que la NBC es un mero
intermediario, y no el fin. Quizás la NBC sea un sitio complejo de
comprometer, pero lejos están los tiempos en los que el ataque en sí,
demostrar que era posible, representaba el fin en sí mismo. Ahora, el
valor de atacar la NBC no es la hazaña de conseguirlo, sino su potencial
en visitas. Más visitas, más gente infectada. Más gente infectada, más
beneficios. Y ese es el verdadero fin. Igual que ocurrió hace poco con
Bit9, en el caso en el que los atacantes consiguieron robar un
certificado privado de la compañía, con el único objetivo de atacar a
terceros que se encontraban protegidos por su software. Los medios para
conseguir el fin pueden llegar a ser complejos, pero hoy ya se traducen
en simples efectos colaterales.¿Qué hubiera pasado?
Aunque en este caso el malware estaba destinado a bancos
norteamericanos, existen bandas muy activas que lo programan para atacar
a víctimas que visitan numerosas cajas y bancos españoles. Por pequeña
que parezca, hemos observado que los atacantes tienen en cuenta
prácticamente todas las entidades bancarias españolas en su código. ¿Qué
hubiera pasado si se lanza una campaña de este tipo en España?Realicemos un ejercicio hipotético, sin más valor que el de concienciar
sobre las cifras. La NBC.com, según Alexa ocupa el puesto 2.211 en
visitas globalmente en la Red. Un medio de televisión español popular,
por ejemplo RTVE.es, ocupa el puesto 1.915. Según la propia RTVE esto
significa que ha sumado casi 14 millones de usuarios únicos en enero de
2013. Imaginemos que alguien lo compromete, y comienza a lanzar malware
desde ese portal solo durante un día. Esto hace 500.000 potenciales
víctimas. De ellas, descartemos los usuarios de tabletas y televisores
(31,2% según RTVE), Mac y Linux (añadamos sobre un 9% más). Pensemos que
solo un 60% de los visitantes es una potencial víctima. Esto nos deja en
300.000 máquinas Windows. Aunque se eliminen de la ecuación los usuarios
parcheados y a los que les bloquea el antivirus, seguiría siendo una
suculenta cifra. Incluso de los ya infectados, no todos caerían en la
trampa, visitaría el banco antes de que su antivirus lo detectase, etc.
Imaginemos que apenas un 1% de esos 300.000 finalmente es estafado.
Estamos hablando de 3.000 usuarios. Los atacantes se atreven a traspasar
hasta 3.000 euros por estafado cuando existe dinero en la cuenta y para
no levantar sospechas, pero la media en el robo de este tipo son 1.000
euros. Esto nos sitúa en un negocio de unos hipotéticos 3 millones de
euros en beneficios por conseguir una buena difusión… ¿Merece la pena?Estamos seguros de que en la banda, los encargados de encontrar espacios
en los que esparcir el malware, se habrán llevado una buena comisión por
este “éxito” en la NBC.
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.