Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
07/04/2014
Falso navegador busca credenciales bancarias de usuarios en Brasil
Los fraudes bancarios siempre suelen ser el arma predilecta de los ciberdelincuentes. El motivo es simple: robar dinero. En este caso, les presentamos el análisis de unas muestras que tienen como objetivo el robo de credenciales bancarias de importantes entidades financieras brasileñas.
Los sistemas de home banking brasileros implementan controles de seguridad diversos, haciendo que el robo de credenciales bancarias no sea algo trivial. En el Laboratorio de Investigación de ESET Latinoamérica hemos recibido recientemente dos troyanos detectados por nuestra solución antivirus como Win32/Spy.Bancos.ACD. Las primeras detecciones de la familiaWin32/Spy.Bancos datan del año 2004, y tienen la finalidad de robar credenciales bancarias de entidades financieras, principalmente aquellas localizadas en Brasil. Las variantes de esta familia son diferenciadas por los protocolos que utilizan para enviar los datos robados, como por ejemplo FTP o SMTP.
La ejecución del primer troyano abrirá un navegador muy similar a Google Chrome, directamente en la página de una importante entidad financiera (ver imagen siguiente). Este navegador es una copia falsa, simula ejecutarse a pantalla completa, y únicamente aceptará la interacción con la página del banco. Los botones como el de “actualizar” no funcionan, y aunque se pueda escribir en la barra de direcciones no será posible acceder a otro sitio.
El sitio bancario es real. El malware monitoreará las acciones de la víctima, esperando a que ingrese credenciales bancarias. Dichas credenciales corresponden a un número de sucursal bancaria y un número de cuenta. Siguiendo el proceso de autenticación del usuario, el paso siguiente será verificar el nombre del titular de la cuenta, e ingresar un código alfanumérico de 8 dígitos. En este punto el sitio bancario ofrecerá al usuario la posibilidad de utilizar un teclado virtual, y por eso mismo el malware captará las posiciones del mouse en caso de que lo utilice.
Puedes acceder al artículo completo aquí.