ESET NOD32 Antivirus: análisis técnico de Poker Agent, troyano de Facebook

Click here to load reader

  • date post

    25-Dec-2014
  • Category

    Technology

  • view

    8.424
  • download

    3

Embed Size (px)

description

La red de “bots” llamada “PokerAgent”, a la que se sigue desde 2012, fue diseñada para conseguir datos de acceso a Facebook. También recogía datos de las tarjetas de crédito ligadas a cuentas de Facebook y estadísticas de los jugadores de “Zynga Poker”, supuestamente con la intención de estafar a las víctimas. Israel ha sido el país donde la amenaza ha sido más activa. Hace aproximadamente un año, el laboratorio de investigación de ESET descubrió un troyano y le llamó la atención. Todo parecía indicar que había algo interesante: referencias a Facebook y a la aplicación Zynga Poker (que aparecían en cadenas de texto dentro del código), el código ejecutable “PokerAgent” y características de botnet, ya que el troyano contactaba con una red de control remoto. ESET ha estado detectando diferentes variantes del troyano, denominado genéricamente MSIL/Agent.NKY. Tras el descubrimiento inicial, fuimos capaces de encontrar otras variantes del troyano, unas más antiguas y otras más modernas. También se consiguieron estadísticas de detección, que revelaron a Israel como el país con mayor actividad del código malicioso. Hemos llevado a cabo un análisis profundo del código del troyano (tarea fácil, ya que estaba programado con C#, muy fácil de descompilar) e iniciamos la monitorización de la botnet. Los resultados se presentan en el informe adjunto. El caso “PokerAgent” representa un ataque con éxito a los usuarios de la red social más grande del mundo y a los jugadores del mayor sitio de Poker en el mundo. Hay, sin embargo, varias prácticas de seguridad, además de la obvia recomendación de utilizar un antivirus actualizado, que evitarán a los atacantes tener suerte. - No solo son necesarias medidas técnicas, sino que también la vigilancia del usuario es una protección contra todos los ataques que emplean ingeniería social. Aunque a simple vista la página falsa de Facebook es una copia perfecta de la auténtica, el usuario puede reconocerla como una copia si comprueba la barra de direcciones, aunque la mayoría de las víctimas fueron engañadas por la página. - Facebook ha implementado varios mecanismos para mejorar la seguridad de sus usuarios. En concreto, el doble factor de autentificación podría haber evitado que los bots entraran en las cuentas de Facebook de las víctimas. - Queremos insistir en que hay que ser cauteloso antes de permitir a los navegadores “recordar” contraseñas de servicios importantes, y mucho más si se están almacenando los datos de la tarjeta de crédito en cualquier aplicación, no solo en Facebook. - Con las redes sociales más populares siendo atacadas pro malware, spam, phishing y otros propósitos nefastos, es muy recomendable asegurarse de que estamos protegidos de estos vectores de ataque también. Para mantener la cuenta de Facebook limpia, ESET ha presentado ESET Social Media scanner.

Transcript of ESET NOD32 Antivirus: análisis técnico de Poker Agent, troyano de Facebook

  • 1. PokerAgentEl robo de 16.000contraseas de cuentas de Facebook
  • 2. PokerAgentLa red de bots llamada PokerAgent, a la que se sigue desde2012, fue diseada para conseguir datos de acceso a Facebook.Tambin recoga datos de las tarjetas de crdito ligadas a cuentas Funciones del malwarede Facebook y estadsticas de los jugadores de Zynga Poker, El autor del malware tienen una gran base de datos con nombres desupuestamente con la intencin de estafar a las vctimas. Israel ha usuario y contraseas de Facebook. Al principio, no sabamos cmo lassido el pas donde la amenaza ha sido ms activa. haba conseguido, pero al continuar la investigacin se aclar. Cuando el bot se conecta al centro de control, le solicita tareas para llevar a cabo. Una de esas tareas equivale a un usuario de Facebook. EL troyano estIntroduccin programado para iniciar sesin en una cuenta de Facebook y conseguir laHace aproximadamente un ao, el laboratorio de investigacin de ESET siguiente informacin:descubri un troyano y le llam la atencin. Todo pareca indicar que habaalgo interesante: referencias a Facebook y a la aplicacin Zynga Poker (queaparecan en cadenas de texto dentro del cdigo), el cdigo ejecutable 1. Estadsticas de Zynga Poker de la cuenta de Facebook en cuestinPokerAgent y caractersticas de botnet, ya que el troyano contactaba con 2. Nmero de mtodos de pago (tarjetas de crdito) almacenadas en launa red de control remoto. cuenta de Zunga Poker.ESET ha estado detectando diferentes variantes del troyano, denominado Las estadsticas del usuario en Zinga Poker se consiguen pasando lagenricamente MSIL/Agent.NKY. Tras el descubrimiento inicial, fuimos respuesta dela URL http://facebook2.poker.zynga.com/poker/inc/capaces de encontrar otras variantes del troyano, unas ms antiguas y ajax/profile_popup.php?zid=1:%_FACEBOOK_ID%&signed_request=%_otras ms modernas. Tambin se consiguieron estadsticas de deteccin, SIGNATURE% &platform=1.que revelaron a Israel como el pas con mayor actividad del cdigomalicioso. Los datos devueltos se asemejan mucho a los mostrados ms abajo, yHemos llevado a cabo un anlisis profundo del cdigo del troyano (tarea tienen diversa informacin sobre el usuario, como su nombre, gnero,fcil, ya que estaba programado con C#, muy fcil de descompilar) e imagen del perfil de la cuenta, clasificacin y puntos en Zynga Poker,iniciamos la monitorizacin de la botnet. Los resultados se presentan a nmero de amigos y estadsticas sobre cada mano jugada.continuacin. 2
  • 3. PokerAgent Con el fin de determinar el nmero de formas de pago vinculadas a la cuenta de Facebook, el bot primero tiene que entrar en esa cuenta, utilizando el nombre de usuario y contrasea que ya estn en poder del atacante. Entonces, el troyano busca en https://secure.facebook.com/settings?tab=pa yments&section=methods y simplemente consigue el nmero que hay entre las etiquetas HTML en la cadena You have X payment methods saved. que se devuelve en HTML.Al troyano solamente le interesa el gnero del usuario, sus puntos y suclasificacin. Esta informacin se enva de vuelta al centro de control.Hay que tener en cuenta que para hacer la consulta el atacante solo necesitael identificador numrico de la cuenta de Facebook y un parmetro vlidofirmado (https://developers.facebook.com/docs/howtos/login/signed-request/) por la aplicacin Zynga Poker. En diferentes versiones del bot hemosdetectado que se usaban diferentes parmetros.Se puede encontrar ms informacin sobre el popular juego Zynga Poker aqu. 3
  • 4. PokerAgentSiempre recomendamos que se sea muy cauteloso a la hora de almacenardatos de tarjetas de crdito en una aplicacin, no solo en Facebook. De nuevo,toda la informacin se manda al centro de control para actualizar la base dedatos de vctimas.El sistema infectado puede llevar a cabo diversas tareas en nombre de unavctima de Facebook:3. Publicar enlaces en el muro del usuario de Facebook.El propsito de esta funcin es llevar a otros usuarios de Facebook (porejemplo, amigos de los usuarios a los que se les ha robado los datos deFacebook) a una pgina falsa de inicio de Facebook, para robarles tambin aellos su nombre de usuario y contrasea.La tarea mandada al bot, aparte de un nombre de usuario y contraseade Facebook, tambin contiene una URL (mandada de manera cifrada) yposiblemente algn texto de acompaamiento para publicarla (aunque nohemos visto que esta caracterstica la use la botnet). El troyano, una veziniciada sesin en Facebook, publica el link descifrado en el muro del usuario.Aqu pueden verse unos cuantos ejemplos. Independientemente del tema de la pgina a la que redirigen, todas tienen un factor comn: cada imagen tiene un enlace HTML a una pgina falsa de Facebook en la que iniciar sesin, como se puede ver ms abajo. De nuevo, seEl link apuntar a una pgina web similar a la que aparece en la imagen ms han ido usando diferentes URL a lo largo del tiempo.abajo. 4
  • 5. PokerAgent El ataque de un vistazo Hay que aclarar que, a diferencia de otros troyanos que hemos visto propagarse frecuentemente por Facebook, este no intenta entrar ni interferir con la cuenta de Facebook del usuario que est infectado (de hecho, podra no tener una cuenta en Facebook). La botnet sirve ms bien como un proxy, por lo que las actividades ilegales (las tareas ordenadas a los bots) no se ejecutan fuera del ordenador infectado.Como caba esperar, cuando una vctima rellena sus datos en esta pginafalsa de Facebook, sus datos son mandados al atacante.El anlisis del cdigo tambin revela una interesante caracterstica de lalgica de programacin del troyano. El cdigo contiene una funcin llamadaShouldPublish, que determina si los datos robados al usuario deben serpublicados en el muro del usuario. Esto depender de si la vctima tienealguna tarjeta de crdito vinculada a su cuenta y su clasificacin en ZyngaPoker. Aparentemente, si se cumple una de las condiciones, el atacanteconsidera que ha triunfado, y, si no (no hay tarjetas y tiene una clasificacinbaja), el troyano buscar otras vctimas. 5
  • 6. PokerAgentUna vez visto esto, todo lo anterior nos lleva a la conclusin de que el En las capturas de pantalla del cdigopropsito de la botnet es: