Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
01/07/2013
Una variant del programari maliciós Citadel utilitza la localització de continguts per a atacar usuaris de diferents països
Una nova variant del programari maliciós financer Citadel utilitza tècniques d’injecció en el navegador combinades amb la localització de continguts per a robar les credencials de registre i informació sobre les targetes de crèdit d’usuaris de diferents països, segons els investigadors del proveïdor de seguretat Trusteer.
Citadel té la capacitat de modificar o substituir pàgines web obertes pels usuaris des dels equips infectats. Este tipus d’atac és utilitzat ben sovint pels programes Troians dirigits al sector financer per a aconseguir que els usuaris exposen les dades de registre i una altra informació sensible.
“La nova variant es dirigix als usuaris de xarxes socials, bancs i grans llocs web de comerç electrònic, entre els quals figura Amazon i les seues versions locals a França, Espanya, Itàlia i Alemanya”, segons escriuen els experts de Trusteer en el seu blog.
Esta variant és capaç d’entregar pàgines web fraudulentes que són automàticament personalitzades a la llengua de cada mercat i marques que té com a objectiu. Quan s’accedix als llocs web específics des d’ordinadors infectats amb la nova variant de Citadel, el programari maliciós els reemplaça amb versions que diuen que els comptes dels usuaris han sigut bloquejats a causa d’activitat sospitosa. A les víctimes es demana que hi introduïsquen la informació personal i la de les targetes de crèdit amb el propòsit de confirmar que són els propietaris legítims dels comptes i que, una vegada fet, es produirà el desbloqueig.
Esta tècnica d’enginyeria social s’ha utilitzat durant anys en els atacs de pesca. No obstant això, a diferència de la pesca tradicional, quan els llocs web són modificats localment per Citadel o programari maliciós semblants, les URL es mostren en la barra d’adreces del navegador són les dels llocs web legítims.
L’ús d’injeccions HTML localitzades pel programari maliciós financer no és nou, però esta variant destaca per l’esforç que s’ha fet perquè el contingut parega creïble, explica Etay Maor, responsable de Prevenció de Frau de Trusteer.
Basant-se en dades arreplegades i analitzades per Trusteer, els investigadors de la companyia consideren que diversos milers d’ordinadors han sigut infectats amb esta nova variant de Citadel.
A principis d’este mes, Microsoft va informar que el seu treball amb el FBI i altres socis de la indústria havia servit per a desactivar més de 1.400 xarxes de zombis basades en este programari maliciós, variant del troià Zeus.
L’esforç de Microsoft va interrompre el funcionament de moltes xarxes de zombis, però qualsevol persona amb un constructor Citadel, una aplicació utilitzada per a construir versions personalitzades del troià, pot crear una nova variant i començar una nova operació.