Robar más de medio millón de euros en apenas una
semana... suena a una
película de Hollywood. Pero los ciberdelincuentes responsables del
fraude bancario
Luuuk lo lograron mediante una campaña lanzada contra un determinado banco europeo en la que usaron una técnica conocida como
Man-in-the-Browser (MITB).
El dinero robado se transfirió automáticamente a cuentas
predeterminadas de "mulas". Cuando GReAT descubrió el panel de control
de Luuuk, de inmediato se puso en contacto con el banco y con las
fuerzas del orden pertinentes para comenzar una investigación.
El 20 de enero de 2014, Kaspersky Lab detectó un servidor sospechoso
que contenía varios archivos de registros, incluyendo actividades de
bots que se comunicaban con un panel web de comando y control. La
información enviada parecía estar relacionada con algún fraude
financiero, ya que incluía datos de las víctimas y las sumas de dinero
robadas.
 |
| Figura 1: Ejemplo del archivo de registros |
Tras un minucioso análisis, encontramos otros archivos en el servidor
que contenían registros con diferentes contenidos y que mostraban
transacciones bancarias potencialmente fraudulentas, así como un código
fuente en
JavaScript relacionado con la infraestructura en el
servidor. Esta información contenía datos valiosos sobre el banco
atacado, sobre el sistema de "muleros" y los detalles operativos
utilizados en este esquema fraudulento.
 |
| Figura 2: Código fuente del panel de control |
Tras analizar todos los datos disponibles, quedó claro que el C2 era el
servidor de la infraestructura de un troyano bancario. Creemos que el
fraude se estaba perpetrando mediante la técnica conocida como
Man-in-the-Browser y que era capaz de realizar transacciones automáticas a cuentas de mulas predeterminadas.
Decidimos bautizar este C2 como
luuuk debido a la ruta que el panel de administración usó en el servidor:
/server/adm/luuuk/
A continuación presentamos un resumen de la información más relevante extraída del lado del servidor:
- Unas 190 víctimas, la mayoría en Italia y Turquía.
- Transacciones fraudulentas por más de 500.000 € (según los registros).
- Descripciones de transferencias fraudulentas.
- IBANs de las víctimas y de las mulas.
El panel de control se alojaba en el dominio
uvvya-jqwph.eu, que llevaba a la dirección IP
109.169.23.134
durante el análisis. La campaña fraudulenta tenía como objetivo a
usuarios de un único banco. Aunque no pudimos obtener el código
malicioso utilizado en las víctimas, creemos que los ciberdelincuentes
utilizaron un troyano bancario que realizaba operaciones tipo
Man-in-the-Browser
para capturar los datos de las víctimas a través de una inyección
maliciosa de código HTML/Javascript. En base a la información
disponible en algunos de los archivos de registros, el programa
malicioso robaba nombres de usuario, contraseñas y códigos OTP en
tiempo real.
 |
| Figura 3: Ejemplo de una transacción fraudulenta en el registro. |
Este tipo de inyecciones son muy comunes en todas las variantes de Zeus
(Citadel, SpyEye, IceIX, etc.), familias con gran afectación en
Italia. Durante nuestra investigación no fue posible encontrar el vector
de ataque, pero los troyanos bancarios tienen un arsenal de métodos
para infectar a sus víctimas, incluyendo spam y descargas
drive-by.
Los atacantes utilizaron datos robados para acceder al saldo de las
víctimas y realizaron varias transacciones maliciosas automáticas,
quizás desde un segundo plano en una sesión bancaria legítima. Esto
sería consistente con uno de los artefactos maliciosos (un servidor VNC)
que encontramos vinculado al servidor malicioso.
A pesar de las técnicas "usuales" implementadas para robar dinero a las
víctimas (usuario/contraseña/bypass OTP), lo que es realmente
interesante en esta campaña es la clasificación de los grupos de
“mulas” predefinidos utilizados para transferir los fondos robados.
De acuerdo con los registros de transacciones, había 4 diferentes grupos de mulas (o drops):
- 13test: El límite que las mulas en este grupo puede aceptar
está entre 40.000 y 50.000 euros, aunque hay algunas con límites entre
20.000 y 30.000.
- 14test: El límite que las mulas en este grupo puede aceptar
está entre 15.000 y 20.000 euros, aunque hay algunas con límites entre
45.000 y 50.000.
- 14smallings: El límite que las mulas en este grupo puede aceptar está entre 2.500 y 3.000 euros.
- 16smallings: El límite que las mulas en este grupo puede
aceptar está entre 1.750 y 2.000 euros, aunque hay algunas que pueden
aceptar entre 2.5000 y 3.000 euros (como las del grupo 14smallings).
Este es un indicador de una infraestructura bien organizada de mulas.
Diferentes grupos con los distintos límites que se puede transferir es
un indicador de los niveles de confianza. Los operadores de este panel
de control eliminaron todos los componentes críticos el 22 de enero,
dos días después que comenzara nuestra investigación. En base a las
transacciones realizadas, creemos que podría tratarse de un cambio en
la infraestructura en lugar de un cierre completo de la operación.
Además, en base a las transacciones fraudulentas que detectamos en el
servidor y a varios otros indicadores, creemos que los ciberdelincuentes
responsables de la operación son muy activos. Han realizado
actividades proactivas de seguridad operativa, como el cambio de sus
tácticas y la limpieza de sus huellas al ser descubiertos.
Kaspersky Lab mantiene contactos con diferentes LEAs y con el banco afectado para procesar a los ciberdelincuentes.
La prevención de fraudes de Kaspersky versus el Luuuk
La evidencia que descubrieron los expertos de Kaspersky Lab indica que
probablemente se trataba de ciberdelincuentes profesionales. Sin
embargo, las tecnologías de seguridad pueden contrarrestar eficazmente
las herramientas maliciosas que se usaron para robar los fondos. Por
ejemplo, Kaspersky Lab ha desarrollado Kaspersky Fraud Prevention, una
plataforma de varios niveles para ayudar a las organizaciones
financieras a proteger a sus clientes contra los fraudes financieros
online. Esta plataforma incluye componentes que protegen los
dispositivos de los clientes contra una amplia variedad de ataques,
incluyendo los del tipo
Man-in-the-Browser, y herramientas que pueden ayudar a los bancos a detectar y neutralizar transacciones fraudulentas.
Fuente:
Viruslist 
