| Titulo Noticia: | Troyano con capacidad de romper CAPTCHAS |
| Publicación: | Asalvo Consultores |
| Fecha publicación: | 14/02/2012 |
Websense Security Labs publicó un informe donde se muestra una secuencia de video de la variante Cridex del troyano que tiene la capacidad de romper CAPTCHAs para replicarse automáticamente. Se parece a Zeus en la forma en que opera, ya que registra el contenido de las sesiones en línea y las altera para recopilar más información del usuario al que infectó.
El troyano usa el ordenador infectado para crear cuentas falsas de email gratuito para enviar correo no deseado a otras cuentas y replicarse. Para crear nuevas cuentas la variante utiliza un servidor de la propia Botnet para romper los CAPTCHAs.
A continuación veremos el modus operandy de Cridex paso a paso.
Paso 1:El punto de partida de la infección es un Troyano bancario conocido como Cridex.Se propaga via mail que contienen enlaces acortados a direcciones que contienen kits de exploits.
Paso 2: Si alguno de estos exploits consigue explotar alguna vulnerabilidad en el equipo se descarga la variante de Cridex.
Paso 3: El ordenador quede infectado por Cridex.
Paso 4: Crides es un troyano que roba datos, similar a Zeus en la forma de operar. Captura datos de las sesiones web del usuario (números pin, usuarios contraseñas, etc...)
Paso 5: Los datos robados del equipo del usuario se envia a un servidor de la botnet.
Paso 6: Uno de los componentes que se descarga Cridex es un módulo que permite al botmaster enviar spam con la finalidad de infectar a otros equipos. Este módulo de spam utiliza puertas traseras en el equipo infectado, abre sesiones web en servidores de mail y registra cuentas en estos servidores que luego utilizará como remitentes del spam. Los servidores de mail online utilizan principalmente CAPTCHAS como medida de seguridad en el proceso de alta de cuentas de correo online para asegurarse que detras de este proceso de alta de cuentas hay una persona y no un proceso automático.
Paso 7: ESta botnet dispone también de un servidor que consigue romper estos CAPTCHA en relativamente pocos intentos que denominan CAPTCHA-breking server. En el siguiente video se ve como un equipo infectado intenta registrar una cuenta de correo online rompiendo el CAPTCHA en 6 intentos.El proceso de romper el CAPTCHA consiste en que desde el equipo infectado se envia una captura de la imagen del CAPTCHA solicitado en el formulario online al servidor de la botnet CAPTCHA-breking server en una petición HTTP. El servidor procesa la imagen y devuelve un texto resultado al equipo infectado que utiliza este texto para probar en el formulario. esta operación se repite hasta que se consigue romper el CAPTCHA, cosa que no siempre ocurre pero en el caso que se ve en el video se consigue en sólo 6 intentos. El equipo infectado envia a servidor CAPTCHA-breaking el texto enviado realmente consigió romper el CAPTCHA como muestra las siguientes imagenes.
Estos tipos de infecciones son responsables de los intentos de robo de cientos de millones de dólares a través de cuentas bancarias en línea a escala mundial. Esta variante del troyano refuerza que los CAPTCHAs siguen siendo un problema de seguridad real. Los hackers ya están adaptando rápidamente las variantes para romper fácilmente los CAPTCHAs para autoreplicarse.
Noticia original en el blog de Websense security labs.
| |
