Un nuevo troyano bancario utiliza el rescate de los mineros en Chile para su difusión

El código malicioso Banbra.GUC accede a datos bancarios de los usuarios afectados e instala malware adicional en los equipos.
Los cibercriminales son especialistas en utilizar las noticias de mayor repercusión para difundir sus códigos maliciosos. En esta ocasión, el drama que están viviendo los 33 mineros chilenos atrapados a casi 700 metros de profundidad se ha convertido en un gancho ideal para difundir un troyano bancario.

El código malicioso se denomina Banbra.GUC y se difunde a través de un video sobre el rescate de los mineros. Al ejecutarse, el troyano muestra el vídeo a la vez que captura contraseñas de acceso a servicios de banca online, sin que el usuario se de cuenta.

Este troyano es especialmente peligroso, ya que además del robo de datos bancarios te instala malware adicional que el ciberdelincuente que lo controla puede actualizar a su antojo.

Entre las entidades afectadas por este troyano, se encuentra el Banco Santander o el Banco do Brasil.

Cuando el usuario visita los sites de estos bancos, el código malicioso descarga unos ejecutables que simulan ser la página en cuestión. Una vez que el usuario ha introducido sus datos, el ejecutable se cierra y devuelve al internauta a la página real del banco, para después enviar la información robada a su creador a través de correo electrónico. Escrito por por Helga Yagüe
 Fuente

Comentario:
Pues ojo que este no solo es cazapasswords, sino que ademas instala un backdoor para lo que se le antoje al autor …! 

saludos

ms, 2-9-2010

Ampliacion detalles de este nuevo malware:
El archivo malicioso llega al ordenador con el siguiente icono:

icono troyano Chile    

Cuando este archivo es ejecutado, se abre el navegador de Internet Explorer con la página original de YouTube y muestra un vídeo de un canal de noticias sobre el rescate de los mineros chilenos atrapados en una mina desde hace varios días.

Las siguientes imágenes corresponden al vídeo mostrado por el troyano:

imagenes youtube Chile 

Pero todo esto no es más que una maniobra de distracción.

Mientras estamos viendo el vídeo, el troyano se instala en el ordenador, crea una copia de sí mismo y una entrada en el Registro de Windows para ejecutarse en cada inicio.

En el siguiente reinicio, se conecta a un servidor FTP, desde el que se descarga diversos archivos ejecutables que guarda en el sistema.

Estos archivos contienen páginas web falsas que copian el formato y el contenido de las páginas web originales de los servicios afectados, entre ellos, varios bancos brasileños, el servicio de correo de Hotmail y la red social Orkut.

Los bancos brasileños afectados, entre otros, son:

Banco do Brasil
Banco Real
Banco Santander Brasil
Bradesco
Caixa Brasil
Itaú
Unibanco

El archivo principal monitoriza el tráfico de red y cuando detecta que el usuario teclea en la barra de direcciones alguna de las páginas web afectadas, selecciona el archivo que contiene la página web falsa del servicio afectado.

A continuación, cierra el navegador de Internet Explorer y activa el ejecutable correspondiente. Este archivo mostrará una página que imita a la original, pero en la que no funcionarán ninguno de los enlaces y secciones, excepto las partes correspondientes a formularios, con el objetivo de robar información bancaria, contraseñas, direcciones de correo electrónico, etc.

Una vez que hayamos completado los campos correspondientes, la página web falsa se cerrará y se abrirá la original.

Toda la información recogida se almacena en el ordenador en unos archivos, que son posteriormente enviados a través de correo electrónico a su creador.

Este troyano puede ser distribuido a través de mensajes de correo electrónico o enlaces publicados en redes sociales, por lo que es necesario extremar las precauciones ante este tipo de situaciones y, sobre todo, ser prudente.
 Fuente

ms.