1

Los nuevos caballos de Troya bancarios son cada vez más refinados

A medida que los bancos mejoran su capacidad para detectar y combatir el fraude, los caballos de Troya ideados por los criminales se vuelven cada vez más sofisticados.

Los criminales hoy pueden secuestrar las sesiones activas de banca en línea, y los nuevos caballos de Troya pueden falsificar el saldo de cuenta para impedir que las víctimas vean que están siendo engañadas.

[<img border="0" src="/pcwla2.nsf/0/98951988B1E215688525769E000E1322/$File/47caballoene10.gif">]

Tradicionalmente, tales programas maliciosos robaban nombres de usuario y contraseñas de bancos específicos; pero el criminal tenía que entrar a la cuenta manualmente para retirar los fondos. Con el fin de detener dichos ataques, los servicios financieros desarrollaron métodos de autenticación como ID de dispositivo, localización geográfica y preguntas difíciles.

Por desgracia, los criminales también han reaccionado ante estos obstáculos con técnicas más inteligentes. Un caballo de Troya, el URLzone, es tan avanzado que el proveedor de seguridad Finjan lo ve como un programa de próxima generación.

MAYOR SOFISTICACIÓN

URLzone permite a los malhechores entrar, escribir la autenticación requerida y secuestrar la sesión simulando las páginas bancarias. Estos asaltos se conocen como ataques del Man in the Middle (MitM), o del hombre en el medio, porque la víctima y el atacante entran a la cuenta a la vez, y la víctima ni siquiera nota que algo malo está pasando.

Según Finjan, un proceso sofisticado de URLzone permite a los criminales predeterminar el porcentaje que extraen de la cuenta bancaria de una víctima; de esa manera, la actividad no disparará las alertas de fraude internas de la institución financiera. El pasado mes de agosto, Finjan documentó un robo basado en URLzone de US$17.500 al día durante 22 días de varias cuentas de banco alemanas, muchas de las cuales no notaron nada fuera de lo ordinario.

Pero URLzone va un paso más allá que la mayoría de las botnet o caballos de Troya bancarios, dice el equipo antifraudes de la RSA. Los criminales que usan caballos de Troya bancarios típicamente roban el dinero y lo transfieren desde la cuenta de una víctima a diversas “mulas”—gente que reciben una tajada y trasladan el resto del dinero al extranjero, frecuentemente en formas de mercancías embarcadas a direcciones en el extranjero.

URLzone también parece detectar cuando lo están vigilando: Cuando los investigadores de RSA trataron de documentar cómo trabaja URLzone, el programa malicioso transfirió el dinero a mulas falsas (frecuentemente entidades legítimas), impidiendo así la investigación.

SILENTBANKER Y ZEUS

Silentbanker, que apareció hace tres años, fue uno de los primeros programas maliciosos en emplear un sitio de phishing. Cuando las víctimas visitaban el sitio bancario falso de los estafadores, Silentbanker instalaba programas maliciosos en sus PC sin provocar ninguna alarma. Silentbanker también captaba pantallas de las cuentas de banco, reexpedía a los usuarios de sitios legítimos y alteraba las páginas de HTML.

Zeus (también conocido como Prg Banking Trojan y Zbot) es una botnet bancaria que persigue las cuentas de banco comerciales. Según el vendedor de seguridad SecureWorks, Zeus frecuentemente se enfoca en un banco específico. Fue unos de los primeros caballos de Troya bancarios en superar los procesos de autenticación al esperar hasta que la víctima entrara en la cuenta exitosamente. Entonces se hace pasar por el banco y discretamente introduce una solicitud de número de seguro social u otra información personal.

Zeus utiliza métodos de phishing tradicionales por correo electrónico para infectar las PC aunque la persona escriba o no sus credenciales bancarias. Un ataque reciente, basado en Zeus, se hizo pasar por un correo electrónico del IRS.

No obstante, a diferencia de los caballos de Troya bancarios anteriores, la infección de Zeus es muy difícil de detectar porque cada víctima recibe una versión ligeramente diferente del programa.

Leave a comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *