Los caballos de Troya como Zeus y Clampi han vaciado cuentas de banco desde hace años, pero un nuevo programa trata de engañar a los investigadores para que no vean hacia dónde va el dinero.
Descubierto por Finjan Software, el caballo de Troya URLzone modifica las páginas bancarias para que las víctimas no sepan que sus cuentas han sido vaciadas. Su sofisticada interfaz de comando y control permite a los malhechores determinar el porcentaje del saldo de la cuenta que desean extraer.
[<img border="0" src="/pcwla2.nsf/0/CD4A8A1F2F0686638525767D000AAE79/$File/62troyadic09.gif">]
Los investigadores de RSA Security dicen que URLzone emplea varias técnicas para detectar las máquinas utilizadas por los investigadores. Los investigadores típicamente crean programas que simulan el comportamiento de caballos de Troya reales. Cuando URLzone identifica uno de estos, envía la información falsa, dice Aviv Raff, gerente del laboratorio de investigaciones Fraud-Action de RSA Security.
Los expertos de seguridad han publicado investigaciones sobre el funcionamiento interno de los programas de computadora maliciosos como URLzone, según Raff. “Ahora el otro lado sabe que los están vigilando y están reaccionando”, dice él.
Cuando URLzone reconoce el programa de un investigador, en vez de desconectarse de la computadora del investigador, el servidor le instruye que transfiera dinero—pero no a una de las mulas reclutadas para mover dinero al extranjero. En vez, escoge una víctima inocente—típicamente de alguien que ha recibido transferencias de dinero legítimas de otras computadoras pirateadas en la red, dice Raff.
Pro el momento, más de 400 cuentas legítimas han sido explotadas de esta manera, según RSA. La idea es confundir a los investigadores y de impedir la detección de las verdaderas mulas de dinero.
Según Finjan, el caballo de Troya URLzone infectó a unos 6.400 usuarios de computadora el pasado mes de septiembre, limpiando US$17.500 al día durante ese mes.
-Robert McMillan