En el mundo del malware, las mulas son las personas que se dedican a
\nrealizar el trabajo sucio: mover el dinero desde la cuenta bancaria
\nv\u00edctima hacia la suya, y de ah\u00ed a trav\u00e9s de traspaso de dinero en
\nefectivo, el dinero viaja a los verdaderos atacantes (cerebros de la
\noperaci\u00f3n) mientras ellos se quedan con un peque\u00f1o porcentaje y corren
\ntodo el riesgo. URLZone ha desarrollado un m\u00e9todo para evitar que los
\ninvestigadores atrapen a estas mulas, y pasar as\u00ed todav\u00eda m\u00e1s
\ndesapercibidos: Usan cuentas de mulas reales durante su comportamiento
\n“habitual”, pero, si notan que est\u00e1n siendo monitorizados, enga\u00f1an
\nautom\u00e1ticamente a los investigadores realizando transacciones leg\u00edtimas
\na cuentas de conocidos de las v\u00edctimas que, l\u00f3gicamente, en realidad no
\nson mulas.<\/p>\n
El llamado URLZone est\u00e1 siendo muy especial, por lo innovador de algunas
\nt\u00e9cnicas con las que se protege. Hace algunos d\u00edas nos llamaba la
\natenci\u00f3n que el troyano fuese capaz de recordar el balance anterior de
\nsu v\u00edctima, y falsearlo en la cuenta una vez ha sido robado. As\u00ed, el
\nusuario no percibe que est\u00e1 siendo v\u00edctima de fraude. No puede detectar
\nla falta de dinero en su cuenta a menos que analice un extracto por
\nalg\u00fan otro medio que no sea su propio ordenador troyanizado, o le sea
\ndevuelto alg\u00fan recibo.<\/p>\n
URLZone es una evoluci\u00f3n de la familia de los Silentbankers que, como
\ncaracter\u00edstica principal, realiza las transacciones de forma autom\u00e1tica.
\nHabitualmente las contrase\u00f1as robadas va a parar a manos de los
\natacantes y las transacciones ileg\u00edtimas son realizadas “a mano” desde
\notro ordenador. Con URLZone, las transacciones a muleros se hacen de
\nforma autom\u00e1tica desde el ordenador de la v\u00edctima sin que este lo sepa,
\nlo que complica por ejemplo el demostrar jur\u00eddicamente que no ha sido la
\nv\u00edctima la que ha realizado la transacci\u00f3n.<\/p>\n
Como la mayor\u00eda de las empresas que estudiamos malware, RSA FraudAction
\nResearch Lab ejecuta en un entorno lo m\u00e1s real posible un troyano, y
\nestudia su comportamiento. Observaron que en su laboratorio, como es
\nhabitual, el troyano realiza transacciones de forma autom\u00e1tica. Pero, y
\naqu\u00ed est\u00e1 lo relevante, comprobaron que las cuentas a las que se hac\u00edan
\ntransferencias eran cuentas de personas reales, conocidas o no, pero
\nsiempre a las que el usuario v\u00edctima ya hab\u00edan realizado transacciones
\npreviamente. Esto quiere decir que, cuando el troyano se sabe
\n“monitorizado”, no usa las cuentas de muleros sino que almacena en una
\nbase de datos (probablemente junto con el balance anterior de la
\nv\u00edctima) cuentas habitualmente utilizadas por el usuario para realizar
\ntransferencias “falsas” cuando le vigilan.<\/p>\n
Cuando URLZone detecta que no est\u00e1 en su botnet “leg\u00edtima”, o sea, la
\nred de sistemas infectados que reciben \u00f3rdenes de uno o varios sistemas
\ncentrales, modifica su comportamiento para eludir a los investigadores.
\nSi es instalado en un laboratorio, y la red central no “conoce” a ese
\nsistema, simular\u00e1 un comportamiento extra\u00f1o, en el que toda persona que
\nhaya recibido dinero de la cuenta de la v\u00edctima, parecer\u00e1 que es el
\nmulero de turno. De paso, ocultan as\u00ed las cuentas de los muleros reales,
\ny perseguir el dinero se convierte en una tarea todav\u00eda m\u00e1s compleja.<\/p>\n
Todo esto se controla desde el servidor central. Tiene un protocolo
\nespecial de comunicaci\u00f3n con las v\u00edctimas y si, por cualquier raz\u00f3n,
\nsospecha que uno de los sistemas infectados no es una v\u00edctima real, sino
\nque ha sido infectado en un sistema de laboratorio, en vez de
\ndesconectar o no hacer nada (as\u00ed act\u00faan la mayor\u00eda de troyanos hoy d\u00eda),
\nbusca en su base de datos de conocimiento de la v\u00edctima y simula
\ntransacciones que no har\u00e1n m\u00e1s que confundir a los investigadores,
\nbancos, v\u00edctimas y sobre todo, a las personas que recibir\u00e1n dinero sin
\nhaberlo pedido y ser\u00e1n acusados de mulas ocasionales.<\/p>\n
Sin duda, una inteligente vuelta de tuerca m\u00e1s en el mundo del fraude
\nonline.<\/p>\n
Fuente: Hispasec<\/p>\n","protected":false},"excerpt":{"rendered":"
En el mundo del malware, las mulas son las personas que se dedican a realizar el trabajo sucio: mover el dinero desde la cuenta bancaria v\u00edctima hacia la suya, y de ah\u00ed a trav\u00e9s de traspaso de dinero en efectivo, el dinero viaja a los verdaderos atacantes (cerebros de la operaci\u00f3n) mientras ellos se quedan […]<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":"","footnotes":""},"categories":[1],"tags":[],"class_list":["post-616","post","type-post","status-publish","format-standard","hentry","category-profesional"],"yoast_head":"\n