lunes, 8 de octubre de 2012

Ataque contra los dispositivos OTP en entidades Latinas



Ha sido descubierto la infraestructura criminal de un sitio Web preparado para evadir los mecanismos de autenticación OTP ( One Time Password ) o Contraseña de un solo uso de la banca electrónica de entidades Latinas con fines fraudulentos

Este sitio esta hospedado en el dominio cybercartel.com.mx que esta alojado en la IP 65.254.32.66 de USA

Los criminales han dirigido su ataque únicamente contra los clientes de las entidades bancarias de Argentina, Bolivia , Chile y Mexico de una manera bastante practica que consiste en bloquear los accesos al servidor de cualquier dirección IP que no pertenezca al rango IP de los proveedores ISP de dichos países.

Para ello han creado en el archivo  .htaccess del servidor apache una lista de rangos permitidos. Cualquier acceso desde una IP no permitida devolverá al usuario un error 403 Forbidden tal como se observa en la captura:



Con este método los criminales logran varios objetivos. Por un lado lograr un alto número de impactos positivos de usuarios infectados de estos países, reduciendo también la carga del servidor rechazando las conexiones de usuarios que no interesan y sobre todo denegar el acceso de las compañías de Seguridad Informáticas y Antivirus, así Cuerpos policiales de otros países que intenten investigar que almacena dicho servidor.

El archivo .htaccess tiene el siguiente formato:
















Se ha eliminado el resto de líneas de rangos IP de acceso debido al gran número de ellas.

A continuación vamos a explicar en este artículo como se realiza el ataque contra los mecanismos de autenticación OTP de la banca electrónica de las entidades financieras afectadas:

El proceso de la realización del fraude por los criminales se sintetiza en los siguientes pasos:


1.      El equipo del usuario se infecta con el troyano bancario.
2.      El troyano empieza a capturar de forma silenciosa mediante técnicas keylogger clásicas todas las contraseñas y passwords de los sitios a los que accede el usuario.
3.      Cuando el usuario accede a su Banca electrónica mediante el navegador, el troyano se activa y pasa a tomar el control de la navegación del usuario.
4.      En eso instante el troyano envía un aviso mediante mensajería Jabber a un criminal que esta operando en remoto y que va a crear una orden de transferencia fraudulenta accediendo en paralelo a la cuenta de la banca del usuario con las contraseñas antes capturadas por el keylogger.
5.      Cuando la aplicación de banca solicite al criminal las claves OTP o cualquier otra clave necesaria para validar la transferencia el criminal enviara una orden al equipo del usuario infectado solicitando que introduzca este OTP.
6.      Esta orden mostrará una ventana en la navegación del usuario solicitando la clave OTP autentica y que normalmente el usuario teclea al pensar que es una operativa habitual de su banca.
7.      El código introducido es capturado por el troyano del equipo infectado y enviado también por Jabber al criminal
8.      El criminal lo introduce en la sesión de banca que ha iniciado validando la transferencia y finalizando el fraude con total éxito.


A continuación se muestra en primicia uno de estos Paneles de Control con los que operan los criminales para realizar el ataque contra los sistemas de validación OTP - ( One Time Password ):


Se observa como el operador que se conecta en remoto recibe toda la información en tiempo real de los datos confidenciales de la victima y  cuando inicia el proceso de fraude va solicitando los datos necesarios mediante el siguiente menú de ordenes:

Incluso puede enviar órdenes de bloqueo de la cuenta de banca electrónica del usuario para que no puede volver a acceder una vez realizado el fraude y no se percate del mismo.



En la misma infraestructura del servidor fraudulento se ha localizado también un Panel de Control del viejo troyano bancario ZEUS totalmente operativo y activo, recopilando datos confidenciales de las victimas infectadas:



Se observa en este panel estadístico del troyano ZEUS la alta tasa de acierto de los usuarios infectados pertenecientes a los países contra los que estaba enfocado el fraude.

A continuación se presenta una muestra muy reducida de la captura de datos confidenciales que realiza el keylogger del troyano en los equipos de los usuarios infectados.




No hay comentarios:

Publicar un comentario en la entrada

Nota: solo los miembros de este blog pueden publicar comentarios.