Otro articulo que les hago llegar de parte de Hispasec.comLa página web del banco de la India ha sido acatada de alguna forma y dese hace varias horas se ha convertido en un foco (involuntario) de infección para usuarios de Windows que no tengan su sistema
actualizado. Visitando la página web legítima y real del banco, el usuario quedaba (irónicamente) infectado por varios troyanos bancarios destinados a robar sus contraseñas de acceso a la banca online.
SunBelt destapaba el problema. La página web del Banco de la India mostraba en su código varios IFRAME inyectados, de forma que quien la visitaba acudía (de forma automática y transparente) también a otras
webs sin “quererlo”. Desde esos “marcos” (IFRAMES) “ocultos” en la web, al ser cargados con el navegador, se intentaban aprovechar varias vulnerabilidades de sistema conocidas para descargar y ejecutar
troyanos bancarios.
Es un tipo de ataque muy similar al que describimos aquí en junio de este mismo año y que afectó a más de 11.000 páginas europeas. En esa ocasión, Mpack estaba detrás de este ataque, y consiguieron tal
volumen de webs comprometidas porque se tuvo acceso a un servidor italiano que las alojaba a todas.
En esta ocasión, parece que han tenido acceso de alguna forma al servidor del Banco de la India y los Windows no actualizados que la visiten quedaban infectados por hasta 22 tipos de malware distintos
(la mayoría destinados a robar contraseñas o enviar correo basura). El ataque consiste en una primera descarga y ejecución de un “loader.exe” y es este (una vez con el control de la víctima) quien se encarga de
descargar otro tipo de malware e infectar al sistema. Son varios los IFRAME incrustados, y por tanto varias las webs que intentan de alguna forma infectar al sistema a través de código JavaScript
ofuscado.
Algunas URL de los atacantes han sido ya desactivadas, pero otras permanecen todavía online. El Banco de la India ha “limpiado” ya su página web, pero el ataque y los IFRAME han permanecido entre 5 y 10 horas en su código web (en horario comercial de la India), accesible a todo visitante.
Los datos robados van a parar a un FTP en Rusia. Como curiosidad, uno de los troyanos que infecta a las víctimas busca archivos catalogados como “en cuarentena” por el motor antivirus de turno en los sistemas
de los infectados y los sube al servidor FTP del atacante.
Siempre hemos hablado de la posibilidad de que páginas de confianza sufran ataques y se conviertan en foco de infección. En esta ocasión llama la atención que sea precisamente la página de un importante
banco la que haya visto eludida toda su seguridad y convertido en un irónico foco de infección de troyanos bancarios.
Aunque queramos pensar que la importancia (y presupuesto) de una web está indiscutible y directamente relacionada con su nivel de protección, desgraciadamente no siempre es así. La seguridad se fundamenta en muchos factores, y no siempre el dinero podrá protegerlos todos eliminando cualquier riesgo. Este no es el primer ejemplo ni será el último, desde luego.
En cualquier caso, el Banco de la India se enfrenta ahora, una vez que (tras un tiempo quizás excesivamente largo) ha eliminado el foco, a un serio problema de confianza ante sus clientes y a una profunda revisión de sus sistemas de seguridad (e incluso, de su plantilla).
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3234/comentar
Más información:
Breaking: Bank of India seriously compromised
http://sunbeltblog.blogspot.com/2007/08/breaking-bank-of-india-seriously.html
Sergio de los Santos
ssantos@hispasec.com