Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
07/04/2014
Fals navegador busca credencials bancàries d'usuaris a Brasil
Els fraus bancaris sempre solen ser l’arma predilecta dels ciberdelinqüents. El motiu és simple: robar diners. En este cas, els presentem l’anàlisi d’unes mostres que tenen com a objectiu el robatori de credencials bancàries d’importants entitats financeres brasileres.
Els sistemes de banca electrònica brasilers implementen controls de seguretat diversos, fent que el robatori de credencials bancàries no siga quelcom trivial. En el Laboratori d’Investigació d’ESET Llatinoamèrica hem rebut recentment dos troians detectats per la nostra solució antivirus com Win32/Spy.Bancs.ACD. Las primeres deteccions de la familiaWin32/Spy.Bancs daten de l’any 2004, i tenen la finalitat de robar credencials bancàries d’entitats financeres, principalment aquelles localitzades a Brasil. Les variants d’esta família són diferenciades pels protocols que utilitzen per a enviar les dades robades, com per exemple FTP o SMTP.
L'execució del primer troià obrirà un navegador molt semblant a Google Chrome, directament en la pàgina d’una important entitat financera (vegeu imatge següent). Este navegador és una còpia falsa, simula executar-se la pantalla completa, i únicament acceptarà la interacció amb la pàgina del banc. Els botons com el d’“actualitzar” no funcionen, i encara que es puga escriure en la barra de direccions no serà possible accedir a un altre lloc.
El lloc bancari és real. El programari maliciós realitzarà un monitoratge de les accions de la víctima, esperant que ingresse credencials bancàries. Les esmentades credencials corresponen a un número de sucursal bancària i un número de compte. Seguint el procés d’autenticació de l’usuari, el pas següent serà verificar el nom del titular del compte, i ingressar un codi alfanumèric de huit dígits. En este punt el lloc bancari oferirà a l’usuari la possibilitat d’utilitzar un teclat virtual, i per això mateix el programari maliciós captarà les posicions del ratolí en el cas que l'utilitze.
Pots accedir a l’article complet ací.