El troyano URLZone desarrolla técnicas “anti-mulas”

En el mundo del malware, las mulas son las personas que se dedican a
realizar el trabajo sucio: mover el dinero desde la cuenta bancaria
víctima hacia la suya, y de ahí a través de traspaso de dinero en
efectivo, el dinero viaja a los verdaderos atacantes (cerebros de la
operación) mientras ellos se quedan con un pequeño porcentaje y corren
todo el riesgo. URLZone ha desarrollado un método para evitar que los
investigadores atrapen a estas mulas, y pasar así todavía más
desapercibidos: Usan cuentas de mulas reales durante su comportamiento
“habitual”, pero, si notan que están siendo monitorizados, engañan
automáticamente a los investigadores realizando transacciones legítimas
a cuentas de conocidos de las víctimas que, lógicamente, en realidad no
son mulas.

El llamado URLZone está siendo muy especial, por lo innovador de algunas
técnicas con las que se protege. Hace algunos días nos llamaba la
atención que el troyano fuese capaz de recordar el balance anterior de
su víctima, y falsearlo en la cuenta una vez ha sido robado. Así, el
usuario no percibe que está siendo víctima de fraude. No puede detectar
la falta de dinero en su cuenta a menos que analice un extracto por
algún otro medio que no sea su propio ordenador troyanizado, o le sea
devuelto algún recibo.

URLZone es una evolución de la familia de los Silentbankers que, como
característica principal, realiza las transacciones de forma automática.
Habitualmente las contraseñas robadas va a parar a manos de los
atacantes y las transacciones ilegítimas son realizadas “a mano” desde
otro ordenador. Con URLZone, las transacciones a muleros se hacen de
forma automática desde el ordenador de la víctima sin que este lo sepa,
lo que complica por ejemplo el demostrar jurídicamente que no ha sido la
víctima la que ha realizado la transacción.

Como la mayoría de las empresas que estudiamos malware, RSA FraudAction
Research Lab ejecuta en un entorno lo más real posible un troyano, y
estudia su comportamiento. Observaron que en su laboratorio, como es
habitual, el troyano realiza transacciones de forma automática. Pero, y
aquí está lo relevante, comprobaron que las cuentas a las que se hacían
transferencias eran cuentas de personas reales, conocidas o no, pero
siempre a las que el usuario víctima ya habían realizado transacciones
previamente. Esto quiere decir que, cuando el troyano se sabe
“monitorizado”, no usa las cuentas de muleros sino que almacena en una
base de datos (probablemente junto con el balance anterior de la
víctima) cuentas habitualmente utilizadas por el usuario para realizar
transferencias “falsas” cuando le vigilan.

Cuando URLZone detecta que no está en su botnet “legítima”, o sea, la
red de sistemas infectados que reciben órdenes de uno o varios sistemas
centrales, modifica su comportamiento para eludir a los investigadores.
Si es instalado en un laboratorio, y la red central no “conoce” a ese
sistema, simulará un comportamiento extraño, en el que toda persona que
haya recibido dinero de la cuenta de la víctima, parecerá que es el
mulero de turno. De paso, ocultan así las cuentas de los muleros reales,
y perseguir el dinero se convierte en una tarea todavía más compleja.

Todo esto se controla desde el servidor central. Tiene un protocolo
especial de comunicación con las víctimas y si, por cualquier razón,
sospecha que uno de los sistemas infectados no es una víctima real, sino
que ha sido infectado en un sistema de laboratorio, en vez de
desconectar o no hacer nada (así actúan la mayoría de troyanos hoy día),
busca en su base de datos de conocimiento de la víctima y simula
transacciones que no harán más que confundir a los investigadores,
bancos, víctimas y sobre todo, a las personas que recibirán dinero sin
haberlo pedido y serán acusados de mulas ocasionales.

Sin duda, una inteligente vuelta de tuerca más en el mundo del fraude
online.

Fuente: Hispasec