Dmitry Tarakanov de Kaspersky descubrió un nuevo plugin para SpyEye (una de las familias de troyanos bancarios más utilizados) que permite grabar a través de la cámara de la computadora imágenes del usuario mientras
está siendo robado por el troyano.
Existen alrededor de 40 plugins diferentes para la rama 1.3 de SpyEye, que es la más utilizada. Uno de los últimos detectados se denomina "flashcamcontrol.dll". Esta librería modifica los permisos de FlashPlayer para permitir a los documentos flash descargados desde cualquier página web, la grabación con la cámara y el micrófono sin pedir permiso al usuario.
Una vez infectado, cuando la víctima visita la página de su banco, descarga un archivo swf (flash) desde un punto controlado por el atacante y se inyecta en la web legítima del banco. Este archivo comenzará la grabación, enviándola a un servidor remoto a través del protocolo Real Time Messaging Protocol (rmpt). En realidad el atacante se asegura de que puede grabar con la cámara con otro archivo adicional llamado "camara_test.sfw", que pregunta al usuario por otra cámara cuando no puede grabar a través de la definida por defecto.
¿Por qué grabar al usuario?
Tarakanov se plantea la utilidad de grabar al cliente mientras está siendo robado. La mayoría de los bancos piden al usuario un dato adicional de autenticación cuando realizan una transacción, ya sea un código de una tarjeta de coordenadas o el código devuelto en forma de SMS por el banco. Los troyanos han solucionado este "problema" bien modificando la página web que la víctima "ve" en su navegador para que requiera todas las coordenadas de la tarjeta, bien infectando también el celular. La última modalidad, la "transferencia ficticia" implica que al usuario se le indica que debe hacer una transferencia de prueba usando el código que el banco le enviará al teléfono. En este esquema, es en realidad la víctima la que está realizando una transferencia al atacante sin que lo sepa, a través de una interfaz simulada. Por tanto, Tarakanov afirma que se desea estudiar cómo reacciona el usuario ante este esquema de ingeniería social.
Lo interesante es que SpyEye sigue activo, desarrollándose y buscando nuevas vías con las que eludir los avances técnicos de autenticación de la banca electrónica. Ante la mejora de los dos factores de autenticación, a los atacantes les queda sobre todo trabajar en la ingeniería social, y este módulo puede que vaya encaminado hacia ese objetivo.
Si quieren más información pueden visitar: http://unaaldia.hispasec.com/2012/05/nuevas-versiones-de-spyeye-graban.html
está siendo robado por el troyano.
Existen alrededor de 40 plugins diferentes para la rama 1.3 de SpyEye, que es la más utilizada. Uno de los últimos detectados se denomina "flashcamcontrol.dll". Esta librería modifica los permisos de FlashPlayer para permitir a los documentos flash descargados desde cualquier página web, la grabación con la cámara y el micrófono sin pedir permiso al usuario.
Una vez infectado, cuando la víctima visita la página de su banco, descarga un archivo swf (flash) desde un punto controlado por el atacante y se inyecta en la web legítima del banco. Este archivo comenzará la grabación, enviándola a un servidor remoto a través del protocolo Real Time Messaging Protocol (rmpt). En realidad el atacante se asegura de que puede grabar con la cámara con otro archivo adicional llamado "camara_test.sfw", que pregunta al usuario por otra cámara cuando no puede grabar a través de la definida por defecto.
¿Por qué grabar al usuario?
Tarakanov se plantea la utilidad de grabar al cliente mientras está siendo robado. La mayoría de los bancos piden al usuario un dato adicional de autenticación cuando realizan una transacción, ya sea un código de una tarjeta de coordenadas o el código devuelto en forma de SMS por el banco. Los troyanos han solucionado este "problema" bien modificando la página web que la víctima "ve" en su navegador para que requiera todas las coordenadas de la tarjeta, bien infectando también el celular. La última modalidad, la "transferencia ficticia" implica que al usuario se le indica que debe hacer una transferencia de prueba usando el código que el banco le enviará al teléfono. En este esquema, es en realidad la víctima la que está realizando una transferencia al atacante sin que lo sepa, a través de una interfaz simulada. Por tanto, Tarakanov afirma que se desea estudiar cómo reacciona el usuario ante este esquema de ingeniería social.
Lo interesante es que SpyEye sigue activo, desarrollándose y buscando nuevas vías con las que eludir los avances técnicos de autenticación de la banca electrónica. Ante la mejora de los dos factores de autenticación, a los atacantes les queda sobre todo trabajar en la ingeniería social, y este módulo puede que vaya encaminado hacia ese objetivo.
Si quieren más información pueden visitar: http://unaaldia.hispasec.com/2012/05/nuevas-versiones-de-spyeye-graban.html
No hay comentarios:
Publicar un comentario