CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

02/03/2011

El troyano Tatanga ataca a la banca europea

Dinero Tatanga es un nuevo troyano bancario con capacidades man-in-the-browser (MitB) que inyecta HTML en el todos los navegadores web y utiliza técnicas de rootkit para ocultar su presencia. Los bancos de España, Reino Unido, Alemania y Portugal se han visto afectados por este malware, según han detectado desde S21Sec.

Un nuevo troyano bancario de nombre Tatanga ha sido descubierto por la unidad de e-crime de la firma de seguridad española S21Sec. El malware cuenta con funciones de Man in the Browser (MitB) y, como SpyEye, puede realizar transacciones automáticas, suplantar el balance de las cuentas y las operaciones bancarias de los usuarios

De acuerdo con los investigadores de S21Sec, el troyano Tatanga está escrito en C++ y utiliza técnicas de rootkit para ocultar su presencia, aunque, en ocasiones, sus archivos son visibles. “El troyano descarga un número de módulos encriptados (DLLs), que se desencriptan en la memoria cuando se inyectan en el navegador u otros procesos para evitar la detección del software antivirus”, escriben en el blog corporativo.

Al parecer, este malware bancario ha atacado a usuarios de banca online de Alemania, Portugal, España y Reino Unido. “Como otros troyanos de su clase, utiliza un archivo de configuración encriptado. Este archivo Tatanga troyano bancarioestá en formato XML y tiene un elemento para cada país afectado”. “Dependiendo del banco objetivo –continúan-, el troyano puede hacerse con las credenciales de forma pasiva o solicitarlas con el fin de acometer transacciones fraudulentas durante la sesión de usuario”.

Tatanga puede inyectar HTML en todos los navegadores más populares: Explorer, Firefox, Chrome, Opera, Safari, Minefield, Maxthoon, Netscape, y Konqueror.

Por el momento, el ratio de detección del troyano Tatanga “es muy bajo”, apuntan los expertos de S21Sec “y pocos motores antivirus pueden detectarlo”.

Fuente: CSO-España

CSIRT-CV