El malware bancario vuelve a lo básico, pero sigue siendo eficaz
El método de infiltración y exfiltración puede seguir siendo el mismo, pero la sofisticación cambia.
Si bien el aumento de las amenazas avanzadas ha hecho que se desarrollen y utilicen técnicas más sofisticadas, en algunos casos se utilizan métodos menos sofisticados y técnicas de “vuelta a lo básico”.
Esta variante de Zeus también inyecta datos de cuenta de la «mula», la persona que actuará como intermediario involuntario o inconsciente, en los nombres de los campos en lugar de los campos alterados. La víctima completa los detalles de la transacción (en el nivel HTML, los nombres de campo para algunos datos son incorrectos), envía el formulario y el banco recibe una solicitud HTTP para la transacción, solo los campos correctos ahora especifican la cuenta de mula receptora.
Trusteer afirma que esto demuestra un «paso atrás» para los atacantes, ya que están utilizando una inyección HTML codificada (con información de cuenta de mula estática) para realizar transacciones fraudulentas que, aunque son simples y simplistas. Afirmó que esto ofrece dos ventajas sobre la inyección HTML de Javascript: hay menos «partes móviles» (scripts dinámicos), por lo que es más difícil de detectar para el software antivirus y antimalware; y esta técnica funcionará en navegadores cuyos usuarios hayan desactivado Javascript por razones de seguridad.
Según Trusteer, este método es «simple, tosco pero efectivo». Si bien no es completamente sofisticado o sin habilidad, se aleja de la tendencia del espionaje avanzado a una de inyección de código básico.
En febrero, Klein dijo que los desarrolladores de troyanos están invirtiendo fuertemente en capacidades de sigilo, especialmente en esfuerzos para evadir el análisis y la investigación de expertos en seguridad. A medida que los bancos implementan soluciones de capa de protección para monitorear sesiones en línea entre clientes y aplicaciones web, estas son capaces de detectar anomalías durante la sesión para indicar actividad iniciada por malware. Sin embargo, una vez en la aplicación, ahí es donde se corre el peligro.