  El uso de código malicioso para realizar transferencias fraudulentas se ha convertido en un fraude habitual sufrido por los bancos y otras organizaciones y en una de las nuevas amenazas contras las que las empresas de seguridad intentan luchar cada día. Cada cierto tiempo saltan a la palestra más actores. Ya no sólo se oyen los Sinowal, ZeuS o SpyEye de siempre, sino que se apuntan al carro otros como Gozi, Carberp, Feodo y muchos más que surgirán este nuevo año. Se habló a finales de 2010 de la posible fusión de ZeuS con SpyEye para crear un nuevo troyano más potente (aún). Sin duda esto denota que hay un gran movimiento relacionado con este tema en foros y comunidades underground: se discuten nuevas técnicas, se intercambia código fuente, se compra, se vende, se alquilan botnets…
Este gran movimiento en torno al cibercrimen se ve reflejado en la continua evolución y adaptación al mercado que muestran troyanos con cierta antigüedad como ZeuS y, su gran competidor, SpyEye. A finales de septiembre de 2010 se descubrió por primera vez el uso de aplicaciones maliciosas para teléfonos móviles que ayudaban a realizar las transferencias fraudulentas cuando era necesario un segundo factor de autenticación. Muchas entidades bancarias, aparte de la clave de firma o tarjeta de coordenadas necesaria para autorizar una transferencia, hacen uso de una segunda fase de autenticación. Ésta suele realizarse mediante el envío de un código a través de SMS al teléfono móvil del cliente, que deberá introducir en la página del banco para realizar la transferencia satisfactoriamente. Para saltarse esta medida de seguridad, los ciberdelincuentes solicitaban a los usuarios el modelo y número de teléfono móvil a través de la inyección de código HTML realizada por ZeuS.   Con esta información, los delincuentes enviaban un SMS a los usuarios, haciéndose pasar por el banco e instando a la instalación de un certificado de seguridad a través de un enlace contenido en el propio mensaje. Este certificado no era tal, sino que era una aplicación maliciosa que, una vez instalada, reenviaba los mensajes provenientes del banco en cuestión hacia un terminal controlado por las cibermafias. En este momento nacía el ZeuS Man in the Mobile (MitMo), dejando inefectivo el segundo factor de autenticación en transacciones bancarias. Los terminales objetivo eran los que hacían uso de los sistemas operativos de BlackBerry y Symbian, pero seguramente este año veremos cómo Android pasa a ser un objetivo prioritario de este tipo de ataques.
En el mismo sentido, y un mes después, SpyEye nos sorprendió con una inyección de código Javascript que realizaba, de forma transparente al usuario y en la misma sesión abierta por él, una transferencia fraudulenta de forma automática. Para ello, aparte de inyectar funciones para solicitar la clave de firma u ocultar el verdadero saldo de la víctima, el troyano consultaba en un servidor los muleros disponibles (cuentas destino) y la cantidad a robar, dependiendo del saldo disponible en la cuenta objetivo. De esta forma, la transacción era inmediata y la dirección IP registrada en el servidor del banco era la del propio usuario.
En el bando contrario, los investigadores y las empresas dedicadas a la seguridad siguen de cerca la evolución del malware; no sin problemas, ya que los ciberdelincuentes son conscientes de este seguimiento e intentan evitarlo. Por ejemplo, cada vez los delincuentes filtran más sus infraestructuras, ya sea a través de medidas de seguridad de sus propios servidores (htaccess) o de sus aplicaciones web, como puede ser la inclusión de parámetros obligatorios en las cabeceras de las peticiones HTTP. Si no se incluyen éstos la descarga de archivos y binarios no se realizará, obstaculizando la investigación de las amenazas. Además, y de forma proactiva, se intenta dañar físicamente los servidores de investigadores que realizan este seguimiento, como la denegación de servicio distribuida (DDoS) sufrida a finales de 2010 por el dominio abuse.ch, donde se alojan ZeuS Tracker y SpyEye Tracker.
Sin duda, el mundo del cibercrimen avanza, y la seguridad debe avanzar a la misma velocidad, colaborando internacionalmente para conseguir una acción más eficaz y compartiendo la información necesaria para ello. De la misma forma, las empresas deben ser conscientes de los peligros que se ciernen sobre ellas y de su continua evolución, buscando los recursos necesarios para tener una información actualizada sobre las distintas amenazas y su posible mitigación.
 
C
