II CAMPAÑA CONTRA EL FRAUDE ONLINE Y POR LA SEGURIDAD EN LA RED.
Hace unos días la Comisión de Seguridad de la Asociación de Internautas informó sobre el descubrimiento de un nuevo troyano bancario (el segundo detectado en menos de mes) y donde se realizó un primer análisis del mismo hasta llegar al descubrimiento de las entidades financieras afectas y donde van los datos robados. En este segundo articulo se describe como funciona un troyano bancario pero desde el ordenador de una victima, en el se analizan los dos troyanos bancarios detectados que afectan a entidades financieras españolas y brasileñas.
Antes de empezar el articulo queremos advertir que hay datos que se omiten por motivos de seguridad y también queremos recalcar que las entidades bancarias que mostramos en este articulo son unas de tantas que son afectadas por este tipo de malware, no se piense que por se cliente de esta entidades bancarias serán victimas de este robo de claves todo lo contrario, todas la entidades pueden ser victimas, afortunadamente los clientes de estos dos bancos podrán comprobar, aprender y detectar su funcionamiento, por ultimo también queremos avisar que este tipo de troyano bancario son de nueva generación, no son lo clásicos troyanos que superponen imágenes encima de las reales y con mover cualquier tipo de ventana podemos ver que es falso, el troyano funciona con todos los navegadores. Herramientas usadas en el laboratorio de pruebas malware:-Maquina de análisis forense.-Sniffer de trafico en la red.-Herramienta de procesos activos.-Cortafuegos.Pasos realizados en la dos demos:-Ejecutamos el primer troyano downloader o el troyano principal.-Capturamos los paquetes (información) que envía al exterior.-Comprobamos los procesos activos que hay en nuestro sistema.-Demostramos como cambia nuestro navegador.Troyano bancario que afecta entidades bancarias españolas. Como funciona el troyano en el ordenador de una victima.
1.- Ejecutamos el troyano bancario.2.- El cortafuego nos solicita permiso y comprobamos los nuevos procesos.3.- Capturamos los primeros paquetes enviados por el troyano bancario, el troyano manda un correo electrónico alertando que hay una victima que esta infectada, también detectamos la dirección del correo donde van los datos (dato muy importante).4.- Vemos como actúa el troyano cuando queremos trabajar con una entidad bancaria, nos muestra el candado de seguridad conexión segura y el certificado de autenticidad, pero nos cambia las imágenes de nuestro navegador.5.- El troyano nos solicita todas las claves, recuerde estas claves NO SE TIENE QUE TECLEAR SI NO REALIZA ALGUNA OPERACIÓN, tecleamos unas claves ficticias.6.- Una vez tecleadas las claves, el troyano nos muestra un falso mensaje; no se puedo conectar al servidor.7.- El cortafuego nos solicita de nuevo permiso, el troyano quiere enviar de nuevo información, le damos permiso para que envié los datos.Capturamos los paquetes enviados y vemos que envió TODAS LAS CLAVES TECLEADAS, en este paso también localizamos en que carpeta se queda alojado el troyano bancario.8.- Matamos el proceso del troyano para ver que ocurre cuando no esta activo.9.- Operamos de nuevo con la web de la entidad bancaria.10.- Comprobamos que ahora no solicita todas las claves.11.- Activamos de nuevo el troyano para ver el efecto, cuando esta activo el cortafuego nos solicita de nuevo permiso para enviar datos.12.- Vemos claramente como nos cambia la web bancaria y como nos vuelve a solicitar todos las claves.Por ultimo para comprobar mejor el efecto trampa tecleamos en el navegador la web de seguridad de Asociación de Internautas http://seguridad.internautas.org , carga la web en el navegador PERO NO LA MUESTRA, matamos de nuevo el proceso del troyano bancario para comprobar como se quita de nuestro navegador el efecto trampa.Final.Nota este troyano analizado afecta a: Banesto, Grupo Santander, Caixa de Catalunya, EPAGADO, Kutxa Caja Gipuzkoa San Sebastian, La Caixa. Mas información sobre este troyano bancario:
http://seguridad.internautas.org/html/4148.htmlTroyano bancario que afecta entidades bancarias brasileñas. Como funciona el troyano en el ordenador de una victima.
No hay comentarios:
Publicar un comentario