{"id":616,"date":"2009-10-07T17:30:14","date_gmt":"2009-10-07T20:30:14","guid":{"rendered":"http:\/\/www.talsoft.com.ar\/site\/?p=616"},"modified":"2009-10-07T17:30:14","modified_gmt":"2009-10-07T20:30:14","slug":"el-troyano-urlzone-desarrolla-tecnicas-anti-mulas","status":"publish","type":"post","link":"https:\/\/www.talsoft.com.ar\/site\/es\/el-troyano-urlzone-desarrolla-tecnicas-anti-mulas\/","title":{"rendered":"El troyano URLZone desarrolla t\u00e9cnicas \u00abanti-mulas\u00bb"},"content":{"rendered":"<p>En el mundo del malware, las mulas son las personas que se dedican a<br \/>\nrealizar el trabajo sucio: mover el dinero desde la cuenta bancaria<br \/>\nv\u00edctima hacia la suya, y de ah\u00ed a trav\u00e9s de traspaso de dinero en<br \/>\nefectivo, el dinero viaja a los verdaderos atacantes (cerebros de la<br \/>\noperaci\u00f3n) mientras ellos se quedan con un peque\u00f1o porcentaje y corren<br \/>\ntodo el riesgo. URLZone ha desarrollado un m\u00e9todo para evitar que los<br \/>\ninvestigadores atrapen a estas mulas, y pasar as\u00ed todav\u00eda m\u00e1s<br \/>\ndesapercibidos: Usan cuentas de mulas reales durante su comportamiento<br \/>\n\u00abhabitual\u00bb, pero, si notan que est\u00e1n siendo monitorizados, enga\u00f1an<br \/>\nautom\u00e1ticamente a los investigadores realizando transacciones leg\u00edtimas<br \/>\na cuentas de conocidos de las v\u00edctimas que, l\u00f3gicamente, en realidad no<br \/>\nson mulas.<\/p>\n<p>El llamado URLZone est\u00e1 siendo muy especial, por lo innovador de algunas<br \/>\nt\u00e9cnicas con las que se protege. Hace algunos d\u00edas nos llamaba la<br \/>\natenci\u00f3n que el troyano fuese capaz de recordar el balance anterior de<br \/>\nsu v\u00edctima, y falsearlo en la cuenta una vez ha sido robado. As\u00ed, el<br \/>\nusuario no percibe que est\u00e1 siendo v\u00edctima de fraude. No puede detectar<br \/>\nla falta de dinero en su cuenta a menos que analice un extracto por<br \/>\nalg\u00fan otro medio que no sea su propio ordenador troyanizado, o le sea<br \/>\ndevuelto alg\u00fan recibo.<\/p>\n<p>URLZone es una evoluci\u00f3n de la familia de los Silentbankers que, como<br \/>\ncaracter\u00edstica principal, realiza las transacciones de forma autom\u00e1tica.<br \/>\nHabitualmente las contrase\u00f1as robadas va a parar a manos de los<br \/>\natacantes y las transacciones ileg\u00edtimas son realizadas \u00aba mano\u00bb desde<br \/>\notro ordenador. Con URLZone, las transacciones a muleros se hacen de<br \/>\nforma autom\u00e1tica desde el ordenador de la v\u00edctima sin que este lo sepa,<br \/>\nlo que complica por ejemplo el demostrar jur\u00eddicamente que no ha sido la<br \/>\nv\u00edctima la que ha realizado la transacci\u00f3n.<\/p>\n<p>Como la mayor\u00eda de las empresas que estudiamos malware, RSA FraudAction<br \/>\nResearch Lab ejecuta en un entorno lo m\u00e1s real posible un troyano, y<br \/>\nestudia su comportamiento. Observaron que en su laboratorio, como es<br \/>\nhabitual, el troyano realiza transacciones de forma autom\u00e1tica. Pero, y<br \/>\naqu\u00ed est\u00e1 lo relevante, comprobaron que las cuentas a las que se hac\u00edan<br \/>\ntransferencias eran cuentas de personas reales, conocidas o no, pero<br \/>\nsiempre a las que el usuario v\u00edctima ya hab\u00edan realizado transacciones<br \/>\npreviamente. Esto quiere decir que, cuando el troyano se sabe<br \/>\n\u00abmonitorizado\u00bb, no usa las cuentas de muleros sino que almacena en una<br \/>\nbase de datos (probablemente junto con el balance anterior de la<br \/>\nv\u00edctima) cuentas habitualmente utilizadas por el usuario para realizar<br \/>\ntransferencias \u00abfalsas\u00bb cuando le vigilan.<\/p>\n<p>Cuando URLZone detecta que no est\u00e1 en su botnet \u00ableg\u00edtima\u00bb, o sea, la<br \/>\nred de sistemas infectados que reciben \u00f3rdenes de uno o varios sistemas<br \/>\ncentrales, modifica su comportamiento para eludir a los investigadores.<br \/>\nSi es instalado en un laboratorio, y la red central no \u00abconoce\u00bb a ese<br \/>\nsistema, simular\u00e1 un comportamiento extra\u00f1o, en el que toda persona que<br \/>\nhaya recibido dinero de la cuenta de la v\u00edctima, parecer\u00e1 que es el<br \/>\nmulero de turno. De paso, ocultan as\u00ed las cuentas de los muleros reales,<br \/>\ny perseguir el dinero se convierte en una tarea todav\u00eda m\u00e1s compleja.<\/p>\n<p>Todo esto se controla desde el servidor central. Tiene un protocolo<br \/>\nespecial de comunicaci\u00f3n con las v\u00edctimas y si, por cualquier raz\u00f3n,<br \/>\nsospecha que uno de los sistemas infectados no es una v\u00edctima real, sino<br \/>\nque ha sido infectado en un sistema de laboratorio, en vez de<br \/>\ndesconectar o no hacer nada (as\u00ed act\u00faan la mayor\u00eda de troyanos hoy d\u00eda),<br \/>\nbusca en su base de datos de conocimiento de la v\u00edctima y simula<br \/>\ntransacciones que no har\u00e1n m\u00e1s que confundir a los investigadores,<br \/>\nbancos, v\u00edctimas y sobre todo, a las personas que recibir\u00e1n dinero sin<br \/>\nhaberlo pedido y ser\u00e1n acusados de mulas ocasionales.<\/p>\n<p>Sin duda, una inteligente vuelta de tuerca m\u00e1s en el mundo del fraude<br \/>\nonline.<\/p>\n<p>Fuente: Hispasec<\/p>\n","protected":false},"excerpt":{"rendered":"<p>En el mundo del malware, las mulas son las personas que se dedican a realizar el trabajo sucio: mover el dinero desde la cuenta bancaria v\u00edctima hacia la suya, y de ah\u00ed a trav\u00e9s de traspaso de dinero en efectivo, el dinero viaja a los verdaderos atacantes (cerebros de la operaci\u00f3n) mientras ellos se quedan [&hellip;]<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":"","footnotes":""},"categories":[1],"tags":[],"class_list":["post-616","post","type-post","status-publish","format-standard","hentry","category-profesional"],"_links":{"self":[{"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/posts\/616","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/comments?post=616"}],"version-history":[{"count":2,"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/posts\/616\/revisions"}],"predecessor-version":[{"id":618,"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/posts\/616\/revisions\/618"}],"wp:attachment":[{"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/media?parent=616"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/categories?post=616"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/tags?post=616"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}