Nuevas versiones de SpyEye graban imágenes de sus víctimas
Dmitry Tarakanov de KAV ha descubierto un nuevo plugin para SpyEye
(una de las familias de troyanos bancarios más utilizados) que permite
grabar a través de la cámara del ordenador imágenes del usuario mientras
está siendo robado por el troyano.
Existen alrededor de 40 plugins diferentes para la rama 1.3 de SpyEye,
que es la más usada en los últimos tiempos. Uno de los últimos
detectados se denomina “flashcamcontrol.dll”. Esta librería modifica los
permisos de FlashPlayer para permitir a los documentos flash descargados
desde cualquier página web, la grabación con la cámara y el micrófono
sin pedir permiso al usuario.
Una vez infectado, cuando la víctima visita la página de su banco,
descarga un fichero swf (flash) desde un punto controlado por el
atacante y se inyecta en la web legítima del banco. Este fichero
comenzará la grabación, enviándola a un servidor remoto a través del
protocolo Real Time Messaging Protocol (rmpt). En realidad el atacante
se asegura de que puede grabar con la cámara con otro fichero adicional
llamado “camara_test.sfw”, que pregunta al usuario por otra cámara
cuando no puede grabar a través de la definida por defecto.
¿Por qué grabar al usuario?
Tarakanov se plantea la utilidad de grabar al cliente mientras está
siendo robado. Hoy en día, la mayoría de los bancos piden al usuario un
dato adicional de autenticación cuando realizan una transacción, ya sea
un código de una tarjeta de coordenadas o el código devuelto en forma de
SMS por el banco. Los troyanos han solucionado este “problema” bien
modificando la página web que la víctima “ve” en su navegador para que
requiera todas las coordenadas de la tarjeta, bien infectando también el
teléfono móvil. La última modalidad, la “transferencia ficticia” implica
que al usuario se le indica que debe hacer una transferencia de prueba
usando el código que el banco le enviará al móvil. En este esquema, es
en realidad la víctima la que está realizando una transferencia al
atacante sin que lo sepa, a través de una interfaz simulada. Por tanto,
¿qué aporta grabar al usuario durante este proceso? Tarakanov afirma que
se desea estudiar cómo reacciona el usuario ante este esquema de
ingeniería social.
Pero en realidad todo son suposiciones. Puede ser desde simplemente una
prueba que no sirva para nada en el futuro, o puede tratarse del primer
paso hacia una estafa mucho más elaborada, donde el atacante desee
obtener información adicional sobre su víctima: sexo, edad… quizás el
atacante quiera saber el modelo del móvil de la víctima, o entorno
en el que se realiza la estafa. También es posible que, como teoriza
Tarakanov, quieran estudiar las reacciones. Con esto podrían mejorar su
ingeniería social. Por ejemplo, si muchos usuarios infectados llaman al
banco tras observar la modificación “no esperada” de la página web en su
ordenador, están perdiendo una potencial “víctima”. Así pueden conocer
el punto débil de su esquema de ataque. Quizás no le interese tanto al
atacante la imagen como el audio…
Lo interesante es que SpyEye y sus plugins siguen activos,
desarrollándose y buscando nuevas vías con las que eludir los avances
técnicos de autenticación de la banca electrónica. Ante la mejora de los
dos factores de autenticación, a los atacantes les queda sobre todo
trabajar en la ingeniería social, y este módulo puede que vaya
encaminado hacia ese objetivo.
Fuente
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.