Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
30/05/2018
Backswap el nou malware per a robar diners dels comptes bancaris
Els investigadors d'ESET han descobert un malware bancari que empra una nova tècnica per a eludir les mesures de protecció del navegador.
La nova tècnica detectada pels investigadors té un enfocament completament diferent del que es coneixia abans. Maneja tot treballant amb elements de GUI de Windows i simulant l'entrada de l'usuari. Açò pot paréixer trivial, però en realitat és una tècnica molt poderosa que resol molts "problemes" associats amb la injecció de navegador convencional. En primer lloc, el malware no interactua amb el navegador a nivell de procés, la qual cosa significa que no requereix cap privilegi especial i eludeix qualsevol reforç del navegador per part de tercers, que generalment se centra en els mètodes d'injecció convencionals. Un altre avantatge per als atacants és que el codi no depén ni de l'arquitectura del navegador ni de la seua versió, i una ruta de codi funciona per a tots.
Quan es detecta l'activitat bancària, el malware injecta JavaScript maliciós en la pàgina web, açò ho fa a través de la consola de JavaScript del navegador o directament en la barra d’adreces. Totes aquestes operacions es realitzen sense el coneixement de l'usuari. Això és un truc aparentment simple que, no obstant això, provoca que es boten els mecanismes avançats de protecció del navegador contra atacs complexos.
Aquest JavaScript maliciós reemplaça secretament el número de compte bancari del destinatari per un número diferent i quan la víctima decideix enviar la transferència bancària, els diners s'envien als atacants. Qualsevol protecció contra el pagament no autoritzat, com l'autorització de 2 factors, no ajudarà en aquest cas.
Indiquen que la distribució d'aquest malware es realitza a través de campanyes malicioses de correu electrònic que porten un arxiu adjunt d'un programa de descàrrega de JavaScript ofuscat d'una família coneguda com Nemucod.
Per a més informació cliqueu açí.