Recientemente, se descubrió un troyano bancario que afecta a usuarios que utilizan los servicios de banca en línea. Este troyano afectó a usuarios de Turquía, República Checa, Portugal y el Reino Unido. Asimismo, utiliza campañas de phishing muy realistas, tomando como objetivo a sitios de organizaciones de gran reputación para incrementar la tasa de éxito del código malicioso.

ESET ha realizado una extensiva investigación sobre Win32/Spy.Hesperbot. Puedes consultar las publicaciones en inglés de nuestros colegas de Eslovaquia tituladas Hesperbot Technical Analysis Part 1/2 y Hesperbot Technical Analysis Part 2/2. Asimismo, también ponemos a disposición el whitepaper para su descarga.

¿Cómo se descubrió?

A mediados del mes de agosto, descubrimos una campaña de propagación de malware en República Checa. En un principio, llamó nuestra atención debido a que el malware se encontraba alojado un sitio que supuestamente pertenecía al servicio postal checo.

El análisis de la amenaza reveló que se trataba de un troyano bancario con características y objetivos similares a los ya conocidos Zeus y SpyEye, pero con diferencias a nivel de implementación que sugieren que pertenece a una nueva familia de códigos maliciosos.

Hesperbot es un troyano bancario muy potente que incluye características tales como funcionalidades de keylogging, captura de pantalla y video, y posibilidad de establecimiento de un proxy remoto. Además, incluye algunas funcionalidades avanzadas, entre las que se incluye la posibilidad de establecer un servidor VNC remoto en el sistema infectado y la capacidad de interceptar el tráfico de red sobre el sistema de la víctima incluyendo la capacidad de inserción de código HTML.

Cuando se realizaron comparaciones entre la muestra obtenida del sitio en República Checa y nuestros archivos, notamos que ya habíamos detectado genéricamente variantes previas como Win32/Agent.UXO, las cuales no solo afectaban a usuarios de República Checa. Instituciones bancarias de Turquía y Portugal también fueron afectadas.

El objetivo de los atacantes es robar las credenciales bancarias de acceso de las potenciales víctimas y lograr que instalen componentes del malware en sus teléfonos con plataformas Symbian, Blackberry o Android.

Campaña

La campaña de propagación del malware en República Checa comenzó el 8 de agosto de 2013. Los ciberdelincuentes registraron el dominio www.ceskaposta.net, el cual es similar al sitio del servicio postal www.ceskaposta.cz.

registro del sitio

Datos de compilación

El dominio fue registrado el 7 de agosto del 2013 y el primer binario de Hesperbot distribuido en República Checa fue compilado la mañana del 8 de agosto de 2013 siendo recolectada por nuestro sistema LiveGrid® momentos después.

Los atacantes enviaron el malware a través de correos que contenían información falsa sobre tracking del servicio postal. Este tipo de actividades es común para atraer potenciales víctimas. El nombre del archivo era zasilka.pdf.exe donde “zasilka” significa "correo" en checo. En esta instancia, el correo mostraba el enlace al sitio original, aunque el mismo apuntaba al sitio falso.

El servicio postal checo respondió de forma muy rápida a través de un alerta sobre un scam en su sitio web:

Sitio web del servicio postal checo

Más allá de que inicialmente las infecciones en República Checa llamaron nuestra atención, el país más afectado fue Turquía donde las primeras detecciones fueron anteriores al 8 de agosto. Existieron picos recientes en las detecciones debido a cambios en la actividad de la botnet en Turquía durante el mes de Julio del corriente año.

Durante el análisis de las muestras, encontramos que se estaba enviando información de debbuging al panel de control. Claramente, esto es un indicio de que estos códigos maliciosos en particular se encontraban en una etapa temprana de desarrollo. Asimismo, otras investigaciones revelaron que Turquía ha estado enfrentando Hesperbot por algún tiempo.

La campaña de propagación utilizada en Turquía fue de una naturaleza similar a aquella de República Checa. El email que se enviaba a las potenciales víctimas era un supuesto mensaje invoice de TTNET, el ISP más grande de Turquía. Aquí también se utilizó archivos con doble extensión .PDF.EXE. Un análisis de esta campaña fue publicada en el sitio web del Programa Nacional de Seguridad de la información de Turquía.

En un período posterior de nuestra investigación detectamos que los ciberdelincuentes también se enfocaron sobre usuarios de Portugal. En este país se utilizó una campaña similar a Turquía, pero empleando el nombre una empresa local.

Durante el transcurso de la investigación, se detectaron algunos componentes adicionales en Hesperbot. La variante detectada como Win32/Spy.Agent.OEC, recolecta direcciones de correo electrónico desde los sistemas infectados y envía esta información desde un servidor remoto. Posiblemente, estos correos electrónicos también fueron utilizados en las campañas de propagación en futuras instancias.

Bancos objetivos y víctimas

Los archivos de configuración utilizados por el módulo para interceptar e inyectar código HTTP especifican cuales son los bancos afectados por cada una de las botnets. En el caso de las botnets en Turquía y Portugal, los archivos de configuración también incluyen inyecciones web, por ejemplo, porciones de código HTML que el troyano inserta en los sitios web de los bancos afectados cuando estos son visitados por la víctima.

Este tipo de comportamiento no existía en el caso del código malicioso en su versión checa, posiblemente apelando a las funciones de keylogging.

Inyección de código

Estadísticas

De acuerdo a nuestro sistema LiveGrid® y a los datos relevados en la investigación, estimamos que el número de usuarios que posiblemente sean víctima de Hesperbot alcanza los cientos en Turquía y disminuye en República Checa y Portugal, respectivamente. A continuación pueden observarse las detecciones por país.

Estadísticas