Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
30/05/2018
Backswap el nuevo malware para robar dinero de las cuentas bancarias
Los investigadores de ESET han descubierto un malware bancario que emplea una nueva técnica para eludir las medidas de protección del navegador.
La nueva técnica detectada por los investigadores tiene un enfoque completamente diferente a lo anteriormente conocido. Maneja todo trabajando con elementos de GUI de Windows y simulando la entrada del usuario. Esto puede parecer trivial, pero en realidad es una técnica muy poderosa que resuelve muchos "problemas" asociados con la inyección de navegador convencional. En primer lugar, el malware no interactúa con el navegador a nivel de proceso, lo que significa que no requiere ningún privilegio especial y elude cualquier refuerzo del navegador por parte de terceros, que generalmente se centra en los métodos de inyección convencionales. Otra ventaja para los atacantes es que el código no depende ni de la arquitectura del navegador ni de su versión, y una ruta de código funciona para todos.
Cuando se detecta la actividad bancaria, el malware inyecta JavaScript malicioso en la página web, esto lo hace a través de la consola de JavaScript del navegador o directamente en la barra de direcciones. Todas estas operaciones se realizan sin el conocimiento del usuario. Este es un truco aparentemente simple que, sin embargo, provoca que se salten los mecanismos avanzados de protección del navegador contra ataques complejos.
Este javascript malicioso remplazará secretamente el número de cuenta bancaria del destinatario por uno diferente y cuando la víctima decide enviar la transferencia bancaria, el dinero se envía a los atacantes. Cualquier protección contra el pago no autorizado, como la autorización de 2 factores, no ayudará en este caso
Indican que la distribución de este malware se realiza a través de campañas maliciosas de correo electrónico que llevan un archivo adjunto de un programa de descarga de JavaScript ofuscado de una familia conocida como Nemucod.
Para más información aquí.