CIBERSEGURIDAD

El malware bancario vuelve a lo básico, pero sigue siendo eficaz

0 71 1 minuto de lectura


El método de infiltración y exfiltración puede seguir siendo el mismo, pero la sofisticación cambia.

Si bien el aumento de las amenazas avanzadas ha hecho que se desarrollen y utilicen técnicas más sofisticadas, en algunos casos se utilizan métodos menos sofisticados y técnicas de “vuelta a lo básico”.

A principios de este año, el CTO de Trusteer, Amit Klein blogueado sobre dos familias de malware, Tinba y Tilon, diciendo que eran ejemplos de malware que «volvía a lo básico». Recientemente, Trusteer identificó una nueva variante de Zeus que apuntaba a un banco de Europa del Este agregando una inyección HTML a la página de transacciones que cambia los nombres de los campos del formulario HTML del número de cuenta del beneficiario, el nombre, la dirección y los datos de la transacción, dejando el campo de la cuenta de origen. nombres y el nombre del campo del monto de la transacción sin cambios.

Esta variante de Zeus también inyecta datos de cuenta de la «mula», la persona que actuará como intermediario involuntario o inconsciente, en los nombres de los campos en lugar de los campos alterados. La víctima completa los detalles de la transacción (en el nivel HTML, los nombres de campo para algunos datos son incorrectos), envía el formulario y el banco recibe una solicitud HTTP para la transacción, solo los campos correctos ahora especifican la cuenta de mula receptora.

Trusteer afirma que esto demuestra un «paso atrás» para los atacantes, ya que están utilizando una inyección HTML codificada (con información de cuenta de mula estática) para realizar transacciones fraudulentas que, aunque son simples y simplistas. Afirmó que esto ofrece dos ventajas sobre la inyección HTML de Javascript: hay menos «partes móviles» (scripts dinámicos), por lo que es más difícil de detectar para el software antivirus y antimalware; y esta técnica funcionará en navegadores cuyos usuarios hayan desactivado Javascript por razones de seguridad.

Según Trusteer, este método es «simple, tosco pero efectivo». Si bien no es completamente sofisticado o sin habilidad, se aleja de la tendencia del espionaje avanzado a una de inyección de código básico.

En febrero, Klein dijo que los desarrolladores de troyanos están invirtiendo fuertemente en capacidades de sigilo, especialmente en esfuerzos para evadir el análisis y la investigación de expertos en seguridad. A medida que los bancos implementan soluciones de capa de protección para monitorear sesiones en línea entre clientes y aplicaciones web, estas son capaces de detectar anomalías durante la sesión para indicar actividad iniciada por malware. Sin embargo, una vez en la aplicación, ahí es donde se corre el peligro.

Publicaciones relacionadas

Los investigadores descubren fallas de seguridad en los productos para el hogar inteligente

Formas efectivas de prevenir el fraude de nómina

Las vulnerabilidades en las aplicaciones de IoT aumentan la probabilidad de ataques.

Ladrón de contraseñas en Chrome que envía datos robados a una base de datos de MongoDB

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar