Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
01/07/2013
Una variante del malware Citadel utiliza la localización de contenidos para atacar a usuarios de diferentes países
Una nueva variante del malware financiero Citadel utiliza técnicas de inyección en el navegador combinadas con la localización de contenidos para robar las credenciales de registro e información sobre las tarjetas de crédito de usuarios de diferentes países, según los investigadores del proveedor de seguridad Trusteer.
Citadel tiene la capacidad de modificar o sustituir páginas web abiertas por los usuarios desde los equipos infectados. Este tipo de ataque es utilizado con frecuencia por los programas Troyanos dirigidos al sector financiero para lograr que los usuarios expongan sus datos de registro y otra información sensible.
La nueva variante se dirige a los usuarios de redes sociales, bancos y grandes sitios web de comercio electrónico, entre los que figura Amazon y sus versiones locales en Francia, España, Italia y Alemania, según escriben los expertos de Trusteer en su blog.
Esta variante es capaz de entregar páginas web fraudulentas que son automáticamente personalizadas a la lengua de cada mercado y marcas que tiene como objetivo. Cuando se accede a los sitios web específicos desde ordenadores infectados con la nueva variante de la Citadel, el malware los reemplaza con versiones que dicen que las cuentas de los usuarios fueron bloqueados debido a actividad sospechosa. A las víctimas se les pide que introduzcan su información personal y la de sus tarjetas de crédito con el propósito de confirmar que son los dueños legítimos de las cuentas y que, una vez hecho, se producirá el desbloqueo.
Esta técnica de ingeniería social se ha utilizado durante años en los ataques de phishing. Sin embargo, a diferencia de phishing tradicional, cuando los sitios web son modificados localmente por Citadel o malware similares, las URL se muestran en la barra de direcciones del navegador son las de los sitios web legítimos.
El uso de inyecciones HTML localizadas por el malware financiero no es nuevo, pero esta variante destaca por el esfuerzo puesto para que el contenido parezca creíble, explica Etay Maor, responsable de prevención de fraude de Trusteer.
Basándose en datos los recogidos y analizados por Trusteer, los investigadores de la compañía estiman que varios miles de ordenadores han sido infectados con esta nueva variante de Citadel.
A principios de este mes, Microsoft informó de que su trabajo con el FBI y otros socios de la industria había servido para desactivar más de 1.400 botnets basadas en este malware, variante del troyano Zeus.
El esfuerzo de Microsoft interrumpió el funcionamiento de muchas botnets, pero cualquier persona con un constructor Citadel, una aplicación utilizada para construir versiones personalizadas del troyano, puede crear una nueva variante y comenzar una nueva operación.