1

El fraude bancario Luuuk: un troyano capaz de robar medio millón de euros en una sola semana

Durante la segunda mitad de 2013, los ataques a través de páginas web se duplicaron.
Los expertos también detectaron registros de transacciones en el servidor, que contenían información acerca de las sumas de dinero que se habían tomado de las cuentas.

La información llega de los  tpecnicos del Equipo de Análisis e Investigación Global (GReAT) de Kaspersky Lab, quienes lograron  identificar un ataque de ciberdelincuentes contra un importante banco europeo. Los registros encontrados en el servidor utilizado por los atacantes, les permitieron cifrar en medio millón de euros el monto de las sustracciones fraudulentas a cuentas de ese banco en una semana.

Los primeros signos de esta campaña se descubrieron el 20 de enero de este año, cuando los expertos de Kaspersky Lab detectaron un servidor de C&C (de Comando y Control) en la red. El panel de control del servidor indicaba evidencia de un programa Troyano que se utilizaba para robar dinero de las cuentas bancarias de los clientes.

Los expertos también detectaron registros de transacciones en el servidor, que contenían información acerca de las sumas de dinero que se habían tomado de las cuentas. En total, su pudieron identificar más de 190 víctimas, la mayoría de ellas ubicadas en Italia y Turquía. Las cantidades robadas de cada cuenta bancaria, de acuerdo con los registros, oscilaron entre 1,700 y 39,000 euros.

La campaña tenía operando por lo menos una semana cuando se descubrió  el servidor de C&C, tras haber comenzado a más tardar el 13 de enero de 2014. En ese periodo los ciberdelincuentes robaron con éxito más de 500,000 euros. Dos días después de que el equipo GReAT descubrió el servidor de C&C, los delincuentes eliminaron cada pizca de evidencia que pudiera ser utilizada para rastrearlos. Sin embargo, los expertos piensan que esto está probablemente vinculado a cambios en la infraestructura técnica utilizada en la campaña maliciosa y no con el supuesto fin de la campaña Luuuk.

“Poco después de que detectamos este servidor de C&C, nos pusimos en contacto con el servicio de seguridad del banco y los organismos encargados de hacer cumplir la ley, y les presentamos toda nuestra evidencia”, dijo Vicente Díaz, Investigador Principal de Seguridad en Kaspersky Lab.

Se utilizaron herramientas maliciosas

En el caso LUUUK, los expertos tienen razones para creer que se interceptaron automáticamente datos financieros importantes y se llevaron al cabo transacciones fraudulentas tan pronto como las víctimas iniciaban sus sesiones en sus cuentas bancarias en línea.

“En el servidor de C&C detectamos que no había información en cuanto a qué programa de malware específico se utilizó en esta campaña. Sin embargo, muchas variaciones de Zeus existentes (Citadel, SpyEye, IceIX, etc.) – tienen esa capacidad necesaria. Creemos que el malware utilizado en esta campaña podría ser una versión de Zeus utilizando inyecciones web sofisticadas en las víctimas”, añadió Vicente Díaz.

Estrategias de desinversión

El dinero robado pasaba a las cuentas de los ladrones de una manera interesante e inusual. Nuestros expertos notaron una peculiaridad distintiva en la organización de los llamados “drops” (o mulas de dinero), en el que los participantes de la estafa recibían algo del dinero robado en cuentas bancarias especialmente creadas para esto y cobraban en efectivo a través de cajeros automáticos. Hubo evidencias de diferentes grupos ‘drop’, cada uno asignado con diferentes cantidades de dinero. Un grupo fue responsable de transferir sumas de 40-50,000 euros, otro de 15-20,000 y el tercero de no más de 2,000 euros.

“Estas diferencias en la cantidad de dinero confiadas a diferentes “drops” pueden ser indicativos de distintos niveles de confianza para cada tipo de “drop”. Sabemos que miembros de estas estrategias con frecuencia engañan a sus socios en el delito y se fugan con el dinero que se supone cobrarían. Los jefes de Luuuk puede que estén tratando de protegerse contra estas pérdidas mediante la creación de diferentes grupos con diferentes niveles de confianza: cuanto más dinero se le pide manejar a un ‘drop’, mayor la confianza que se le tiene”, añadió Vicente Díaz.

El servidor de C&C relacionado con Luuuk se apagó poco después de haber iniciado la investigación. Sin embargo, el nivel de complejidad de la operación “hombre en el navegador” (MITB) sugiere que los atacantes continuarán buscando nuevas víctimas de esta campaña. Los expertos de Kaspersky Lab están involucrados en la investigación en curso en las actividades de Luuuk.

Kaspersky Lab ha desarrollado Kaspersky Fraud Prevention- una plataforma multinivel para ayudar a las organizaciones financieras a proteger a sus clientes contra fraudes financieros en línea. La plataforma incluye componentes que salvaguardan los dispositivos de los clientes de muchos tipos de ataques, incluyendo ataques MITB, así como herramientas que pueden ayudar a las empresas a detectar y bloquear transacciones fraudulentas.

 

Adolfo Manaure

Entusiasta seguidor de la tecnología y las innovaciones que cambian el mundo. Director Editorial y COO en The HAP Group.