Desde sus orígenes relativamente simplistas y de nicho (de cierta forma, en sintonía con el phishing), los webinjects avanzaron significativamente en los últimos años para convertirse en una amenaza mucho más sofisticada.
Hoy en día, constituyen una amenaza real para las instituciones financieras. De hecho, los ciberdelincuentes están utilizando cada vez más los kits de webinjects genéricos diseñados para consumo masivo, e incluso los personalizan y los añaden a sus troyanos bancarios con el objetivo de robar datos y dinero de las víctimas. En este artículo observaremos a estos kits más de cerca para entender mejor lo que hacen.
En el sentido más estricto del término
La inyección web es una herramienta gratuita y de código abierto diseñada principalmente para automatizar la prueba de las aplicaciones y servicios web. Los investigadores de seguridad la han estado utilizando durante los últimos 20 años para evaluar los componentes de los sistemas web con interfaz HTTP.
Son muchos los lugares donde se puede inyectar código en un sitio, una aplicación o un servicio web, por eso es esencial asegurarse de que los administradores las controlen siempre durante las pruebas de carga, los controles de calidad y la implementación de medidas de seguridad.
Cómo se aprovechan del sistema
Sin embargo, más recientemente, los delincuentes comenzaron a usar archivos de webinject junto con sus troyanos bancarios para robar información bancaria online u otros datos confidenciales de la víctima. En efecto, algunos delincuentes intentan deliberadamente incorporar archivos de webinject a sus variantes de malware para aumentar las posibilidades de robo de datos.
Estos son, básicamente, archivos de texto con un montón de código JavaScript y HTML, y los ciberdelincuentes los usan para atacar ciertas organizaciones mediante la inyección de códigos específicos en los navegadores de las víctimas en tiempo real y así poder modificar las páginas web que los usuarios están viendo.
Al usarse en conjunto con un troyano bancario, el webinject suele mostrar un mensaje emergente falso en un sitio legítimo, en general mientras la víctima está utilizando su servicio bancario online o está haciendo una transacción.
Los cibercriminales se esfuerzan para que la página web parezca legítima y, mientras el usuario navega en ella, roban sus datos de inicio de sesión y detalles bancarios. Algunos kits buscan información de seguridad cuando el usuario inicia la sesión en el sitio del banco, o incluso piden permiso para transferir fondos, por lo general bajo el pretexto de que el dinero fue transferido a la cuenta del usuario accidentalmente, por lo que éste debe proceder a su reembolso.
Un nuevo enfoque para un viejo conocido
"Aunque es una técnica bastante antigua, ha evolucionado considerablemente en los últimos años", escribió Jean-Ian Boutin, investigador de malware de ESET, en un post donde comenta su paper titulado Evolution of Webinjects (La Evolución de Webinjects). Este estudio, presentado en la 24º Conferencia de Virus Bulletin en Seattle, analiza el alcance que tuvieron los inyectores web.
"Por lo general, los troyanos bancarios descargan algún tipo de archivo de configuración de webinject, que especifica el objetivo de ataque e incluye el contenido que deberá inyectar en la página web de destino", continuó.
"Algunos webinjects tratan de robar información personal del usuario mediante la inyección de campos adicionales en los formularios que la víctima está usando en ese momento, lo que crea una página de phishing elaborada. Otros son mucho más complejos e incluso podrían tratar de automatizar transferencias fraudulentas desde la cuenta bancaria de la víctima hacia la cuenta bancaria de una 'mula'".
Multifacéticos y sumamente especializados
La rapidez con la que avanza el desarrollo de los webinjects es tal que ya se convirtieron en productos básicos, disponibles para la venta o negociación en "foros clandestinos" y modificados a medida según las necesidades específicas de los ciberdelincuentes que quieran atacar un banco determinado u otras instituciones financieras.
Por otra parte, los escritores del software de webinject ahora son capaces de producir kits personalizados por solo una fracción del costo que tenían antes, aunque aquellos con características especiales (como la capacidad de tomar un saldo bancario y enviarlo al servidor de Comando y Control) cuestan más; sin embargo, teniendo en cuenta las posibles recompensas, es una inversión que muchos atacantes no dudan en hacer.
Si bien muchos de estos establecimientos bancarios y financieros cuentan con sistemas exclusivos de seguridad, el hecho de que los webinjects se pueden personalizar para superar tantas medidas de seguridad distintivas es algo preocupante. Subestimar este hecho es un grave error: el vigor que muestra el mercado negro sugiere que los criminales detrás de los webibjects apenas están empezando.