Entrevista con el creador de un troyano bancario

El periodista se hizo pasar por un potencial cliente interesado en un troyano a medida. De su conversación se deduce una importante profesionalidad del medio.

Por su interés, traducimos y resumimos la entrevista, publicada en la página de la revista. “CS” se refiere a Computer Sweden, mientras que Corpse es el delincuente informático.

CS: ¿El troyano que algunos llaman Haxdoor es tuyo? ¿Tiene la misma funcionalidad?

Corpse: Sí, Haxdoor (hay muchas versiones) es mío.

[Corpse vende el troyano bajo el nombre de A311 Death, pero Haxdoor es el nombre que le han dado las casas antivirus]

CS: ¿Has oído hablar sobre los ataques al banco Nordea? Eso lo hizo Haxdoor, ¿verdad? [En las últimas semanas se ha dado a conocer un ataque a este banco sueco a través de un troyano, que le ha hecho perder 1.5 millones de dólares]

Corpse: Haxdoor y Nuclear Grabber (La variante Haxdoor sin puerta trasera)

CS: Impresionante. ¿Es esa la versión que yo podría obtener por 3.000 dólares?

Corpse: Sí, y además esto también es Haxdoor: [pega una dirección con información pública sobre un ataque al Banco Australiano]

CS: ¿Y obtendré esto por 3.000 dólares?

Corpse: Sí, es la misma versión.

[Corpse añade que esto es sólo la punta del iceberg. Los bancos ocultan la mayoría de las intrusiones, lo que son buenas noticias para los que prefieren trabajar en la oscuridad]

CS: Estupendo. ¿Algún otro ejemplo de ataques que se hayan llevado a cabo con Haxdoor?

Corpse: El personal de seguridad de los bancos prefiere ocultar el 99% de los ataques. No quieren asustar a los usuarios 🙂

[Tan pronto como se haya realizado el pago, el código se entregará y se preparará un script que se utilizará para recibir la información robada. Esto será realizado por Corpse, el soporte está incluido en el precio. Cualquier pregunta sobre otros clientes que hayan estado detrás del ataque al banco Nordea es eludida por Corpse]

CS: Suena simple. ¿Se necesita mucha gente para sacar esto adelante?

Corpse: Sólo hay un desarrollador. Yo.

CS: Sí, pero me refiero a tus clientes. Toma como ejemplo el ataque al banco Nordea. ¿Fue una sola persona o había un grupo tras esto?

Corpse: No lo sé, algunos trabajan en grupos otros por ellos mismos.

[Cuando se muestran dudas sobre ser descubierto, Corpse se muestra confiado. Por 150 dólares al mes proporciona servidores en China, EE.UU. o Europa donde se enviaría la información robada. El fraude no podría ser rastreado de esa forma]

Corpse: Puedo comprar un servidor o un “web hotel” por ti.

CS: Ok, ¿no sería eso un problema para mí? Quizás sería mejor usar un servidor anónimo en Rusia.

Corpse: No en Rusia. E.E.U.U. o China o Europa.

CS: Tu seguridad es importante para mí, porque yo podría ser pillado si te pillan a ti. ¿No te asusta la policía?

Corpse: No te preocupes por la policía. Usa una VPN anónima, SOCKS también funcionará 🙂

CS: ¿Has oído que Norman Antivirus dice que detecta si un sistema está infectado por Haxdoor?

Corpse: Los productos antivirus no pueden encontrar una versión no descubierta.

[Con el troyano se proporciona una interfaz gráfica que facilita su administración, para así poder definir el banco objetivo]

Corpse: La interfaz es estándar y no requiere de ningún conocimiento. Si tienes algún problema te ayudaré.

[Como cualquier vendedor Corpse, habla de las inmejorables características de “su producto”]

Corpse: Sí, usará técnicas de rootkit y de autodefensa para no ser detectado.

CS: ¿Cómo me sería entregado?

Corpse: Como archivo rar o zip.

CS: Por cierto, ¿puede infectar a Vista también? ¿Cómo se comporta con versiones más antiguas?

Corpse: Hay soporte para todas las versiones desde Windows 98, incluido Vista.

No podemos aportar prueba alguna de que esta conversación sea real, debemos creer en la profesionalidad de la revista sueca. Aun así, la profesionalización del medio y sensación de impunidad con la que trabajan, concuerdan perfectamente con lo que venimos advirtiendo (y analizando en muestras de troyanos) en Hispasec desde hace bastante tiempo.