Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
30/07/2019
Troyano bancario utiliza una extensión de Chrome
Se han visto afectadas entidades de Latinoamérica como BBVA, Banco Santander, BCI o Scotia Bank. Este troyano roba las credenciales de acceso bancario.
Este robo de datos bancarios se realiza mediante un esquema de funcionamiento nuevo. Por una parte, la configuración de un proxy malicioso en el sistema operativo.
Posteriormente, se descarga un fichero comprimido en formato ZIP, que contiene la extensión maliciosa para Google Chrome y un instalador legítimo de Google Chrome Canary.
La extensión maliciosa solicita al navegador permisos para interceptar las peticiones web a los dominios de las entidades bancarias afectadas y redirigirlas a otra URL, en la que se aloja la web de phishing, para robar las credenciales de acceso.
El usuario no se da cuenta que las redirecciones se realizan a subdominios "ww", en lugar del habitual "www". El proxy es el encargado de resolver esos dominios inexistentes y mostrar la web falsa.