Ataques de Boy-in-the-Browser continúan evadiendo a los antivirus tradicionales

Los ataques de Boy-in-the-Browser (BITB) están cobrando fuerza al seguir evadiendo a los tradicionales antivirus.

Tomer Bitton, del Centro de Defensa de Aplicaciones Imperva, explica, “Muchos están familiarizados con los ataques Man-in-the-browser (MITB), pero la mayoría no son conscientes de los menormente conocidos Boy-in-the-browser (BitB). No es tan sofisticado como MITB, el malware BitB ha evolucionado desde los tradicionales capturadores de teclado (key loggers) y los registros de sesión del navegador. La reciente oleada de troyanos BitB dirigidos a bancos chilenos y sus clientes, demuestra que este tipo de ataque está ganando fuerza y continúa evadiendo el software anti-malware tradicional”.

Hablando sobre los pasos del ataque, Tomer describe cómo se perfila, “Todo comienza con un simple correo electrónico, el phishing de aspecto inocente que anima al usuario a hacer clic en un enlace para visitar un sitio web para más detalles. Sin embargo, en lugar interrogar al usuario para que comparta sus datos personales – la mayoría de ellos son hábiles para esto- , le dicen que es necesario descargar la última versión de Adobe Flash Player para poder ver la página. La mayoría de los usuarios resultan engañados al creer en esto y hacen clic en el enlace. Sin embargo, en lugar de recibir la última versión de Flash, están descargando malware.

“Una vez ‘instalado’, el troyano flash player se graba en el registro, a continuación, pide al usuario que ‘ejecute’ el programa, lo que le permite sobrevivir al iniciar el sistema e infectar la máquina. Para evitar la detección, el troyano crea el nuevo archivo de hosts de archivos como ‘sólo de lectura’.”

Para explicar las consecuencias de haber infectado la máquina con el malware, Tomer continúa: “A partir de este punto, el malware sobrescribe el archivo de usuarios para el mecanismo de asignación de nombres de host (URL) para las direcciones de red (IP). La próxima vez que el usuario intente conectarse a una aplicación de banca u otra URL frecuentemente visitada, el troyano en su lugar, redirigirá al usuario a un sitio falso controlado por los criminales, que imita el sitio real. A menudo, es tan hábilmente hecho que el usuario tendrá problemas para distinguir la diferencia. Sin embargo, es aquí donde las credenciales son robadas o el usuario es engañado para completar una transacción falsa”.

Fuente

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies