Las Fintech también en el radar del malware

Publicado por buguroo - 12/11/2019

Desde hace años somos testigos del ritmo al que avanza la tecnología. Este avance no solo genera oportunidades de negocio para empresas multinacionales con ingresos desorbitados, para muchos emprendedores y visionarios, este avance les ha supuesto una fuente de ingresos y un medio de vida.

Este es el caso de las conocidas FinTechs, “Financial Technologies”, que se han centrado en ofrecer servicios financieros y, por lo tanto, centran sus esfuerzos en sobrevivir tras rivalizar con la banca tradicional. Aunque no en todos los casos los grandes bancos ven como una amenaza a las FinTechs, algunas buscan hacer uso de sus soluciones para incorporarlas y aportar a los clientes un valor añadido a los servicios bancarios tradicionales, mientras que otras las han impulsado o financiado.

Este tipo de empresas están consiguiendo abrir la mentalidad de los usuarios que, habitualmente, llevan a cabo acciones financieras a través de internet, desvinculándose de la mentalidad bancaria conservadora, pasando directamente a ejercer sus actividades empresariales desde un nuevo paradigma digital en auge.

Como bien sabemos, no todos los bancos ofrecen soluciones online que nos permitan llevar a cabo acciones desde nuestros smartphones u ordenadores personales, y los que ofrecen este tipo de alternativas, en muchas ocasiones, no cubren todas nuestras necesidades.

No es de extrañar que los ciberdelincuentes empiecen a poner su punto de mira sobre las empresas ‘FinTech’, para las que ya se han empezado a observar los primeros ataques a través de malware y sitios web de phishing.

 

Malware afectando a FinTechs

En marzo de este año la empresa Palo Alto Networks encontró por primera vez una muestra de malware diseñada para afectar a entidades financieras de tipo ‘FinTech’. Esta muestra se trataba de un malware ya conocido con el nombre de ‘Cardinal RAT’, que en esta nueva versión comenzaba a interesarse por entidades ‘FinTech’ israelíes dedicadas al desarrollo de soluciones software para ‘forex’ y ‘trading’ de criptomonedas.

Al tratarse de un RAT (Remote Access Tool), este troyano implementa las capacidades habituales de este tipo de herramientas:

  • Registro de teclas pulsadas (para el robo de credenciales, además de otros datos tecleados por la víctima)
  • Robo de información del sistema
  • Ejecución de comandos
  • Limpieza de cookies de los navegadores
  • Descarga y ejecución de nuevos módulos
  • Realización de capturas de pantalla
  • Actualización y desinstalación del troyano

Este malware es instalado en el sistema de la víctima a través de macros de documentos maliciosos de Excel. Dichos documentos suelen distribuirse a través de falsos emails que afirman ser legítimos. Como podemos observar, para su distribución sigue el esquema habitual utilizado por otros troyanos bancarios para Windows.

 

Funcionamiento

En cuanto al funcionamiento técnico del malware, no incorpora grandes novedades en el ámbito de robo de datos y credenciales, ya que utiliza principalmente una implementación de ‘keylogger’ para el registro de teclas pulsadas.

Sin embargo, sí que destaca su funcionamiento para conseguir la ejecución del payload final encargado del robo de datos. El binario malicioso descargado a través de las macros de Excel se trata realmente de un dropper, que se encarga de instalar el binario malicioso en el sistema.

Durante esta primera fase de instalación, el dropper descifra una DLL que incluye en la sección de recursos camuflada como si se tratase de una imagen.

malware-fintech-03Falsa imagen en la sección de recursos

Esta falsa imagen es descifrada, y la DLL resultante es cargada para iniciar el proceso de instalación del malware. La instalación consiste en copiar el binario en alguna ruta bajo %APPDATA%. Algunas de las muestras han utilizado:

  • %APPDATA%\Microsoft\Windows\IEConfig\[ALEATORIO]\sqlreader.exe
  • %APPDATA%\Local\Microsoft Help\Services\[ALEATORIO].exe

Como podemos observar, la instalación se produce siempre bajo %APPDATA%, aunque según la muestra analizada la subcarpeta puede variar. Aún así, parece que suele elegir subcarpetas que contengan la palabra ‘Microsoft’, probablemente en un intento para ocultarse en caso de que el usuario encuentre esa carpeta, de forma que no sospeche pensando que se trata de una carpeta legítima del sistema.

Durante esta etapa de instalación se crea también un fichero LNK en la carpeta de inicio del usuario, como mecanismo de persistencia para que que se ejecute con cada reinicio del sistema. El contenido suele ser algo como:

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -windowstyle hidden “%APPDATA%\[INSTALL_PATH]\[BINARY].exe”

De esta forma se asegura de ejecutar el troyano cada vez que se inicie el equipo, utilizando el parámetro ‘-windowsstyle’ para evitar que se cree una ventana que haga sospechar al usuario.

Una vez instalado, el siguiente paso es ejecutar el payload malicioso encargado de robar datos y permanecer a la escucha de órdenes del servidor de control. Para la ejecución del payload, este troyano implementa una técnica conocida como ‘Process Hollowing’. Esta técnica se basa principalmente en la ejecución de un binario legítimo del sistema en modo suspendido, de forma que el troyano puede sustituir el código legítimo cargado en memoria por el código malicioso.

Después de modificar el código del binario legítimo, el malware se encargará de hacer que el proceso en modo suspendido inicie su ejecución, lo que desencadena en la ejecución del código malicioso en lugar del código legítimo. De esta forma, el malware es capaz de ocultarse, ya que aparentemente se está ejecutando un binario legítimo del sistema.

malware-fintech-02Código encargado de elegir el ejecutable legítimo y realizar ‘Process Hollowing’

Como podemos observar en la imagen anterior, se prueba uno por uno los binarios de la lista de víctimas para realizar ‘Process Hollowing’. No debería haber problemas para que se utilice alguno de los dos primeros: ‘RegSvcs.exe’ y ‘RegAsm.exe’. Por lo que en un sistema infectado encontraremos en ejecución alguno de estos dos binarios.

En las imágenes anteriores con el código del troyano podemos observar también que, además de su complejidad para ejecutar el código malicioso y evitar ser detectado, éste se encuentra muy ofuscado, encontrando los nombres de funciones y clases. Esto dificulta mucho el análisis de la muestra.

Finalmente, tras reemplazar el código legítimo por el código malicioso, éste inicia el módulo de ‘keylogging’ e inicia la comunicación con el servidor de control para enviar información sobre el sistema de la víctima, tras lo que se mantiene a la espera de comandos a ejecutar.

Varios parámetros del troyano vienen incluidos en el recurso ‘GreyCardinalConfig’. En éste, podemos encontrar diferentes parámetros que utilizará el troyano durante su ejecución, como la dirección o dominio del servidor de control, la clave de cifrado utilizada para cifrar la comunicación o si deben ejecutarse ciertas funcionalidades (como el módulo ‘keylogger’, o la detección de sandbox).

 

Conclusiones

Tras el descubrimiento y análisis del troyano de acceso remoto ‘Cardinal RAT’, podemos observar que no solo las entidades bancarias pueden ser el objetivo de los atacantes, sino que cualquier otra entidad financiera puede encontrarse en el punto de mira.

Los atacantes buscan obtener el máximo beneficio a partir de sus creaciones por lo que es normal que traten de buscar nuevos objetivos para sus ataques. En este caso, las entidades ‘FinTech’ han sido las elegidas, y si nos basamos en la popularidad crecientes de las mismas, es muy probable que nuevas versiones de familias clásicas y futuras de troyanos bancarios no solo se centren en entidades bancarias, sino que también lo muestren su interés por este tipo de entidades financieras.

Aunque nos hemos centrado en amenazas relacionadas con malware, no podemos olvidar los ataques de ‘phishing’, de los que se han detectado también algunos afectando a diferentes empresas ‘FinTech’, y que son una forma de ataque más dirigida a sus usuarios.

De cara al futuro, debemos estar atentos y preparados para protegernos de amenazas y ataques que traten de robar credenciales de acceso y, en definitiva, cualquier tipo de información sensible que se encuentre disponible en nuestros servicios ‘FinTech’. Los atacantes buscan beneficio económico y las ‘FinTech’ expanden el abanico de entidades financieras donde los ciberdelincuentes pueden poner el ojo.

.

.

.

.

Temas: Cybersecurity

 

 

Deep Learning for Online Fraud Prevention


Últimos artículos

Repaso de los principales mecanismos de autenticación utilizados

read more

¿Amigo o enemigo? Cuando el estafador es, además, su cliente

read more

CYBERCRIME.ORG. Cibercrimen como Empresa

read more