Haxdoor, rootkit pharming y malware de fraude bancario

Interesantísima nota a cargo del laboratorio de F-Secure, en el que se citan como notas complementarias un par de documentos: el análisis de tendencias del Anti Phishing Working Group de Diciembre de 2005 y por otro lado, el artículo de Brian Krebs, del Washington Post que sirvió de base para que hace poco comentásemos en este blog la nueva cara del phishing y narrásemos el caso de Mountain America.

Los chicos de F-Secure retoman el debate de un especimen realmente tenebroso: Haxdoor, enlazando un reciente documento de Secure Science donde explican el funcionamiento de este backdoor con bastante detalle.

Este Haxdoor y sus variantes son amenazas de primer nivel. Se trata de una puerta trasera con capacidades rootkit, capaz de ocultar su presencia en los sistemas infectados, siendo sólo posible la detección mediante detectores de rootkit específicos y motores antivirus que usen drivers de kernel. Este elemento fue especialmente creado para efectuar operaciones de hooking http, orientado a la captura de credenciales bancarias. El elemento redirige el tráfico, roba la información sensible que introducimos en formularios y transmite los datos sensibles a servidores custodiados por los atacantes. A modo de resumen, y hablamos del especimen original:

  • Captura todas las credenciales de sitios que contengan las cadenas bank, banq, trade, merchant moneybookers, VeriSign, authorize, sgcyprus, coopcb, fbme, banc, gold, business, citi, ikobo, HSBC, halifax, alpha.gr, cdb, Barclays
  • Roba claves y usuarios POP3 e IMAP, así nombre de servidor POP3 e IMAP
  • Roba claves cacheadas de Miranda ICQ, MDialer y Webmoney. También se apropia de teléfonos MDialer y RAS, así como datos sensibles de RAS (usuario, clave, dominio, configuración DNS)
  • Conecta con servidores, manda emails y publica datos en sitios web. El correo de destino es [email protected].
  • El especimen modifica parámetros de Internet Explorer, como la página de búsqueda, página local, página de inicio y URL por defecto para las búsquedas.
  • Admite control a través de bots IRC. Una vez activo, el backdoor se une al canal #corpse de irc.localirc.net. Admite todo tipo de comandos: /join, /kill, /nick, ejecución de ficheros, descarga de ficheros, iniciar puerta trasera, iniciar proxy, ejecutar denegación de servicio distribuída, capturar información de unidades locales, enviar emails, listar directorios, encontrar ficheros, reiniciar los equipos y actualizar el fichero backdoor desde un servidor.
  • Detienefirewalls, así como determinados procesos: zapro.exe, vsmon.exe, jamapp.exe, atrack.exe, iamapp.exe, FwAct.exe, mpfagent.exe, outpost.exe, zlclient.exe, mpftray.exe
  • Como detalle final, permite juegos diversos, como abrir y cerrar la unidad CD del ordenador infectado.

Un ataque elegante y sofisticado, donde no sólo se roban credenciales (phishing) sino que además, éstas son sustraídas con técnicas de pharming, redirigiendo el tráfico del usuario afecto a través de envenenamiento DNS. Un usuario infectado con este backdoor es un usuario que está vendido por completo.

No está mal recordar estos especímenes para insistir en que las amenazas son efectivas porque no se toman las medidas oportunas de contención y porque detrás de estos desarrollos de malware hay grupos de crimen organizado que obtienen una rentabilidad económica muy importante a través de la puesta en libertad de ejemplares como Haxdoor.

Sólo basta con visitar la portada de VirusTotal de vez en cuando para ver que siempre hay, al menos, un especimen de captura de credenciales bancarias (banker) entre las muestras más circuladas. La explicación es de color verde y suele tener dibujada la cara de algún presidente norteamericano.

Saludos, y buen fin de semana :)