Tecnología Hecha Palabra > Datos > Soluciones > Tecnología Para Todos >
Rating: Rating: 3.0 - Votos: 1
09/07/2018
Nuevo malware roba dinero mediante transferencias bancarias
 Vote:
Imprimir este Artículo Recomendar este Artículo Tamaño de letra pequeña Tamaño de letra mediana Tamaño de letra grande
RSS Twitter Facebook Digg Delicious
Google Windows Live Stumble

Investigadores de ESET identificaron parte de un malware bancario que utiliza una nueva técnica para evadir medidas de protección del navegador y así lograr robar dinero de cuentas bancarias.

Buenos Aires, Argentina – El Laboratorio de Investigación de ESET, una compañía líder en detección proactiva de amenazas, recientemente descubrió una nueva familia de malware bancario que utiliza una técnica innovadora para manipular el navegador, provocando que las transacciones bancarias sean enviadas a cuentas de los atacantes sin que el usuario sospeche.

Este malware bancario utiliza una técnica que en lugar de usar métodos complejos de inyección de procesos para monitorear la actividad del navegador, intercepta eventos específicos del bucle de mensajes de Windows, de tal modo que pueda inspeccionar los valores de las ventanas en busca de actividades bancarias. Una vez que la actividad bancaria es detectada, el malware inyecta un JavaScript malicioso en el sitio web. Todas estas operaciones son realizadas sin que el usuario lo note.

En enero de 2018 se identificó por primera vez al grupo detrás de este malware bancario propagando sus primeros proyectos; siendo uno de ellos un malware que robaba criptomonedas reemplazando la dirección de las billeteras en el portapapeles. El grupo se focalizó en malware de clipboard durante unos meses, hasta que finalmente introdujo la primera versión del malware bancario. Como resultado se observó un pico en la tasa de detección en comparación con los proyectos previos, esto se debió a que los cibercriminales fueron muy activos en el desarrollo del banker e introdujeron nuevas versiones casi de forma diaria.

El banker es distribuido mediante campañas de spam maliciosas a través del correo, que contienen como adjunto un downloader JavaScript, fuertemente ofuscado, de una familia comúnmente conocida como Nemucod. De acuerdo a los análisis, las campañas de spam están dirigidas principalmente contra usuarios polacos.

Se caracteriza por manipular el sistema simulando el accionar de un usuario. El malware no interactúa en ningún punto con el navegador a nivel de procesador, por lo tanto, no requiere de privilegios especiales y anula cualquier fortalecimiento del navegador por parte de terceros; que generalmente se enfocan en métodos de inyección convencionales. Otra ventaja para los atacantes es que el código no depende ni de la arquitectura del navegador ni de su versión, y que un único patrón de código funciona para todos los navegadores.

Una vez identificadas, el banker implementa un script específico para cada banco, ya que cada sitio bancario es diferente y presenta un código fuente distinto. Estos scripts son inyectados en páginas en las que el malware identifica una solicitud de inicio de transferencia bancaria, como el pago de una cuenta. El script inyectado de manera secreta reemplaza el número de cuenta del destinatario con uno diferente y cuando la víctima decide enviar la transferencia bancaria, el dinero será enviado en su lugar al atacante. Cualquier medida de seguridad contra pagos no autorizados, tales como doble factor de autorización, no será de ayuda en este caso dado que el propietario de cuenta está enviando la transferencia voluntariamente.

Los números de cuentas bancarias maliciosas cambian de manera muy frecuente, y prácticamente todas las campañas tienen uno nuevo. El banker solo robará dinero si el monto de la transferencia bancaria está dentro de cierto rango – generalmente se eligieron como blancos pagos que estén entre los 2.800 y los 5.600 USD. El script reemplaza la cuenta bancaria receptora original y también reemplaza el campo de entrada para esos números con uno falso que muestra la cuenta bancaria original, para que de esta manera el usuario vea el número válido y no sospeche de nada.

"Este hallazgo nos muestra que en el transcurso de la batalla entre la industria de seguridad y los autores de malware bancario, las nuevas técnicas maliciosas no necesitan ser altamente sofisticadas para ser efectivas. Pensamos que en la medida de que los navegadores estén más protegidos ante la inyección de códigos convencionales, los autores de malware atacarán los navegadores de diferentes formas. En este sentido, Win32/BackSwap.A simplemente nos mostró una de las posibilidades", mencionó Camilo Gutierrez, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Las soluciones de seguridad de ESET detectan y bloquean esta amenaza como Win32/BackSwap.A Trojan. Asimismo, desde la compañía se notificó a los navegadores afectados acerca de esta innovadora técnica de inyección de código.


Acerca de ESET

Desde 1987, ESET® desarrolla soluciones de seguridad que ayudan a más de 100 millones de usuarios a disfrutar la tecnología de forma segura. Su portfolio de soluciones ofrece a las empresas y consumidores de todo el mundo un equilibrio perfecto entre rendimiento y protección proactiva. La empresa cuenta con una red global de ventas que abarca 180 países y tiene oficinas en Bratislava, San Diego, Singapur, Buenos Aires, México DF y San Pablo

Copyright © 1992 – 2018. Todos los derechos reservados. ESET y NOD32 son marcas registradas de ESET. Otros nombres y marcas son marcas registradas de sus respectivas empresas.

Imprimir este Artículo Recomendar este Artículo Tamaño de letra pequeña Tamaño de letra mediana Tamaño de letra grande
RSS Twitter Facebook Digg Delicious
Google Windows Live Stumble

FUENTE

eset-la.com
1-Comunicado



Comentarios
0 comentarios para este artículo.

Realice su comentario aquí
Nombre y Apellido:
Comentario:
IMPORTANTE:
  1. Los comentarios no reflejan la opinión de tecnologiahechapalabra.com, sino la de los usuarios, y son ellos los únicos responsables de las opiniones aquí presentadas.

  2. El usuario acepta ceñirse al Código de Conducta de TecnologiaHechaPalabra.com cuyo contenido ha leído y acepta en toda su extensión.

Ver histórico de Artículos

  Tecnología Hecha Palabra > Datos > Soluciones > Tecnología Para Todos > Ir al principio  




ENCUESTA
La conexión de internet en mi hogar se cae...
  
  
  
  
  
  
Ver resultados
Yolk Visual









CAVEDATOS
Ayuda al Paciente Oncológico
TuComiquita.com
Home | Audio y Video | Publicidad | Suscripción | Titulares | RSS - Tecnología Hecha Palabra (THP) | Foros | Nosotros | Contáctenos
Condiciones de uso y Aviso Legal | Privacidad | Código de Conducta | Accesibilidad | Mapa del Site

'Publicación Tschernig ® Derechos reservados © Copyright 2005-2018 Tschernig' Desarrollado por: