Antes de entrar en materia, quisiera agradecer a B-Secure por invitarme a participar en la creación de esta de Expediente 01. Dicho sea de paso en esta nueva sección, a diferencia de mis contribuciones anteriores no nos centraremos únicamente en temas de análisis forense digital, sino que trataré de abordar diversos temas relevantes a situaciones actuales que comprometan la seguridad de un sistema.
Esta nueva sección, tendrá una periodicidad quincenal con el objetivo de tratar de mantenerlos informados sobre las últimas técnicas de análisis forense, tendencias, cibercrimen o demás tópicos interesantes.
Otro aspecto importante en relación a como venia colaborando con los artículos presentados en la revisa B-Secure será la posibilidad de interactuar con nuestros lectores por medio de una cuenta de twitter (@elihu_hernandez). En donde además de tratar de responder a cuestionamientos o inquietudes, también será el medio en el que ustedes nuestros lectores podrán expresar sus opiniones, quejas o sugerencias del contenido que se presente o del que quisieran que se presentara en esta nueva sección.
Después de esta breve introducción, es hora de abordar un tema de seguridad de la información que seguramente será del interés de muchos de nuestros lectores dado que influye directamente en sus bolsillos.
La batalla por la supremacía (Zeus Vs SpyEye)
Identificado por primera vez en 2007 (lo cual no quiere decir que antes no se haya utilizado o difundido) Zeus es un troyano bancario que posee características interesantes que lo destacan sobre el resto del malware orientado a capturar información relativa a compras por internet o banca electrónica.
La proliferación de Zeus es tal que ha infectado equipos en 196 países. Dentro de esta lista, los cinco países más afectados por Zeus son: Egipto, Estados Unidos, Arabia Saudita, Turquía y, porque no, México.
Zeus únicamente puede alojarse (instalarse) en sistemas Windows. Sin embargo, lejos de ser esta una limitante, al excluir la distribución de este troyano en sistemas tipo Unix. Zeus desde sus inicios fue concebido para atacar a empresas e instituciones gubernamentales en donde prevalece el sistema operativo de Microsoft, para prácticamente todas sus dependencias y en donde México no es la excepción.
Cuando un equipo es infectado por Zeus (el cual se distribuye principalmente utilizando las redes de intercambio de archivos P2P) tiene como objetivo principal capturar y almacenar todas las direcciones de correo electrónicas y contraseñas utilizadas en redes sociales (Facebook, Hi5, etcétera) y también las de los sitios de banca electrónica. Pero para los sitios de banca en línea, Zeus recopila otros datos tales como información personal y preferencias de navegación que ayudarían al atacante detectar cuáles son los días e incluso las horas en los que la victima acostumbra visitar el portal bancario o realizar una transferencia electrónica.
Para entender un poco más como opera Zeus y su sucesor (SpyEye) analicemos un poco la siguiente ilustración cortesía de wikipedia.
En la imagen podemos observar, claramente, el flujo que la delincuencia organizada utiliza para infectar los equipos de las víctimas, sustraer información confidencial y posteriormente realizar compras en línea con los datos capturados. Con el objetivo de lavar el dinero sustraído de manera ilícita, realizando compras de productos de software (generalmente software de antivirus) en empresas no constituidas legalmente o ficticias.
De esta forma, el atacante, cuando es cuestionado sobre sus ingresos, argumenta que los mismos fueron producto de la venta del software antivirus (por citar un ejemplo) que la compañía ofrece y que en ningún momento se obligó al cliente a comprarlo. Y en efecto, nunca se le obligó al cliente a comprar ese producto, sino que Zeus o SpyEye realizan la compra de manera automática al obtener datos sus tarjetas de crédito, dificultando con ello el que la victima pueda reclamar el monto defraudado. Y cómo refutarlo si la petición de compra proviene de la IP de la victima, pero el problema es que dicha adquisición se efectuó “sin el consentimiento del propietario”. Situación que deriva en innumerables cuestionamientos, que sólo alargan y dificultan el proceso de restauración de los bienes afectados por parte de las autoridades.
Como podemos observar, tanto Zeus como SpyEye, representan un grave riesgo para el usuario final que navega por la red descargando música, películas y software pirata. Ya que como comentaba al inicio del artículo, su mayor canal de distribución son las redes Peer to Peer (Kazza, Emule, Torrent), ampliamente utilizadas para compartir archivos de distintos tipos.
Pero existe un factor de riesgo adicional, al de robo de información bancaria, y es el hecho de que estas piezas de software puedan comprometer la información de inicio de sesión utilizadas en redes sociales como Facebook, dando da pie a que, con la información es dichos espacios virtuales, los cibercriminales ejecuten delitos como el robo de identidades, secuestro de cuentas o extorsión digital.
Por ejemplo, Facebook es la red social más grande del planeta (más de 550 millones de cuentas registradas) y desafortunadamente la gran mayoría de sus usuarios publican fotografías de sus hijos, familiares, amigos, o postean datos como fechas de cumpleaños, dirección particular y de oficina, número telefónico o lugares públicos que frecuentan.
Con todos estos datos y, en el entendido que estos troyanos capturan la información de acceso a la red social, independientemente si tienen o no protegido su perfil, surgen los siguientes cuestionamientos:
Las respuestas a estos cuestionamientos dependen de qué tipo de información almacenen en sus redes sociales, al margen de si están restringidas o no, por lo que los invito a reflexionar con la siguiente pregunta: ¿Puede llegar a afectarnos directa o indirectamente la información (comentarios o fotografías) que actualmente están dentro de mi red social? Quizá ese sea tema de otra colaboración.
Mientras tanto para aquellos lectores que se interesan por conocer técnicamente la funcionalidad de Zeus les recomiendo este documento electrónico (http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/zeus_king_of_bots.pdf), en donde se detalla un buen análisis por parte de Symantec sobre sus características técnicas, métodos de infección, actualización y comportamiento del mismo.
Elihú B. Hdez Hdez Es analista forense digital e integrante del grupo de respuesta a incidentes de Produban México (Grupo Santander). Posee las certificaciones ACE (AccessData) y GCFA (SANS) respectivamente así como formación especializada en TI. Síguelo en Twitter: @elihu_hernandez
SÍGUENOS
© 2011 Netmedia S.A. de C.V.
Políticas de privacidad
Sócrates 128 4to piso, Polanco
CP 11560, México D.F.
Tel: 2629 7260