Seguridad

S21sec detecta un ataque masivo para infectar los navegadores

Los expertos de S21sec han alertado de una nueva campaña de ataque masivo tipo Man in the Browser (MitB). Esta clase de ataques se basa en una técnica dirigida a infectar el navegador y permite a las mafias modificar páginas, alterar el contenido de transacciones, etc., pasando totalmente inadvertidos para los usuarios.

El malware utilizado en este caso no es el famoso troyano Zeus, sino SpyEye, que apareció en 2009 en los foros especializados y que también es frecuentemente usado para el fraude en entornos de banca online.

Actualmente SpyEye se vende en los foros como indetectable para la mayoría de los antivirus. Además, oculta sus ficheros en el explorador y las entradas de registro que utiliza. Se distribuye principalmente en foros de Europa del Este y Rusia, e implementa muchas de las características de Zeus, pero aún se encuentra en desarrollo.

A las técnicas utilizadas por versiones anteriores de SpyEye –robo de formularios, inyección de código, robo de credenciales FTP y POP3, y robo de credenciales en autenticación HTTP Basic-, la variante ahora descubierta por S21sec añade las capturas de pantalla y la posibilidad de realizar MitB.

Las funcionalidades básicas de esta versión son esencialmente las mismas de que disponía en febrero de este año, aunque presenta algunas mejoras en el sistema de cifrado del archivo de configuración. El nivel de detección de las muestras del troyano por los principales antivirus del mercado ha pasado de un 62% a un 20%.

Este troyano permite a los atacantes obtener los datos de las cuentas de sus víctimas y enviarlos después al servidor de mando y control de la botnet a través de la que se difunde. Si el saldo de la cuenta supera una determinada cantidad, el servidor devuelve los datos de la cuenta a la que debe realizarse una transferencia fraudulenta (mula).

A continuación, SpyEye rellena el formulario de transferencias con la información y permanece a la espera. Se le piden al usuario una serie de datos, incluida la clave de firma, y, una vez se dispone de ellos, el sistema envía el formulario para ejecutar la transferencia. Finalmente modifica el importe de las cuentas para que la víctima no descubra el robo.

Al interceptar la sesión del usuario legítimo, el fraude se hace mucho más difícil de detectar para la entidad bancaria.



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper