Shylock pone en aprietos a clientes en más de 20 entidades bancarias

0

Shylock (Caphaw) sufre una nueva mutación, regresando a lo grande en más de 20 bancos importantes

Más de 20 grandes bancos de los Estados Unidos están cruzando los dedos para que sus clientes no pierdan datos personales de cuentas ni, por consiguiente, dinero. El motivo no es otro que el retorno del malware Shylock (Caphaw) un malware financiero de gran sofisticación.

Los investigadores han comprobado un aumento en las tasa de infección últimamente. Este malware lleva en circulación desde nada menos que 2011. Aunque no se conoce el primer punto de infección, el malware realiza una exhaustiva labor de borrado de pistas. Emplea un DGA o Domain Generation Algorithm para trazar una ruta teléfono-casa a través de una serie de IPs que emplean certificados SSL auto-firmados (¿recordáis las recomendaciones de ayer?)

Esto limita la capacidad de las herramientas de monitorización de red para diseccionar los paquetes conducidos por intentos de estafa o actividades maliciosas en la red propia, según informan los expertos forenses. La mayoría de infecciones, afirman, están ocurriendo actualmente en Reino Unido, Italia y Turquía.

DGA ha sido usado previamente por otras familias de malware para esconderse de los servicios de detección y software. Los algoritmos de generación de dominios generan y testean nuevos nombres de dominio y determinan cuando un centro de comando y control responde a la solicitud. Los servidores estáticos de reputación que mantienen las listas de dominios de control no funcionan bien contra DGA. En el lado del atacante, usando este mecanismo, no necesita poner en marcha una infraestructura de servidores Comando y Control, que pueden en cierto momento ser cerrados por las autoridades y empresas de seguridad.

Las Botnets  y familias de malware como PushDo, Zeus y TDL/TDSS también emplean DGA para atacar clientes del sector financiero, así como enviar Spam o asistir en ataques dirigidos contra entidades gubernamentales, militares o políticas.

Shylock ha sufrido ya varias “renovaciones”, añadiendo nuevas características que ayuden a sobrepasar los sistemas de deteccióny frustrar a los investigadores que le siguen la pista. También se han incorporado funciones como inyecciones web que ayuden a instalar el malware en máquinas comprometidas “al vuelo” o mediante plug-ins o addons como Skype que ayuden a distribuírlo rápidamente.

En la última hornada de infecciones, los atacantes están usando un módulo Javascript procedente de la base de datos de IPs del sitio legítimo MaxMind GeoIP, así obtienen la localización de nuevas víctimas.

Los expertos especulan con que un Kit de Exploit está trabajando para las últimas infecciones de Caphaw, aprovechando brechas de seguridad en Java para entrar en los equipos. Una vez alli, dejan caer un ejecutable que varía en cada infección (polimórfico) que pone un freno a la detección de esta amenaza.

El gran número de encuentros potenciales con nombres aletorizados pone las cosas difíciles a los investigadores y autoridades cuando intentan identificar y derribar la infraestructura CnC. Peor aún, usando el encriptado añaden una capa adicional de problemas al proceso de desactivación de la amenaza, requiriendo más tiempo.

Hasta la fecha, Zscaler ha encontrado 64 muestras de Caphaw y 469 IPs realizando llamadas a una localización DGA.

Este malware hace todo lo que puede para sobrevivir y permanecer en el equipo; puede determinar cuando está siendo ejecutado en una máquina virtual y cuando el anfitrión está online. Si algo falla, el malware no se ejecutará. Para asegurar su persistencia, crea un autoejecutable vía entrada en el Registro de Windows y añade nuevos procesos de Windows para ofrecer pistas falsas de cara a su eliminación.

Aquí tenéis la lista de bancos afectados hasta el momento:

– Bank of Scotland
– Barclays Bank
– First Direct
– Santander Direkt Bank AG
– First Citizens Bank
– Bank of America
– Bank of the West
– Sovereign Bank
– Co-operative Bank
– Capital One Financial Corporation
– Chase Manhattan Corporation
– Citi Private Bank
– Comerica Bank
– E*Trade Financial
– Harris Bank
– Intesa Sanpaolo
– Regions Bank
– SunTrust
– Bank of Ireland Group Treasury
– U.S. Bancorp
– Banco Mercantil, S.A.
– Varazdinska Banka
– Wintrust Financial Corporation
– Wells Fargo Bank

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR