El malware bancario se está volviendo más astuto, las firmas de seguridad advierten

Los autores de malware financiero están intentando evadir los nuevos sistemas de seguridad de banca en línea volviendo a las técnicas de robo de credenciales más tradicionales de phishing, según investigadores de la empresa de seguridad Trusteer. los programas utilizados por los ciberdelincuentes en la actualidad son capaces de alterar en tiempo real las sesiones bancarias en línea iniciadas por las víctimas en sus computadoras. Esto incluye la posibilidad de ejecutar transacciones fraudulentas en segundo plano y ocultarlas al usuario modificando el saldo de la cuenta y la visualización del historial de transacciones en su navegador.

Como resultado, los bancos comenzaron a implementar sistemas para monitorear cómo los clientes interactúan con sus sitios web y detectar anomalías que puedan indicar actividad de malware. Sin embargo, parece que algunos creadores de malware están volviendo a técnicas más tradicionales que implican robar credenciales y usarlas desde una computadora diferente para evitar ser detectadas.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

Troyanos familiares, nueva técnica

Los investigadores de Trusteer detectaron recientemente cambios en los programas troyanos financieros de Tinba y Tilon diseñados para evitar que las víctimas accedan a los sitios web reales de banca en línea y reemplacen sus páginas de inicio de sesión con versiones deshonestas.

el cliente accede al sitio web del banco, el malware presenta una página web completamente falsa que se parece a la página de inicio de sesión del banco ", dijo el jueves el director de tecnología de Trusteer, Amit Klein, en una publicación de blog. "Una vez que el cliente ingresa sus credenciales de inicio de sesión en la página falsa, el malware presenta un mensaje de error que alega que el servicio bancario en línea no está disponible. Mientras tanto, el malware envía las credenciales de inicio de sesión robadas al estafador que utiliza una máquina completamente diferente para inicie sesión en el banco como cliente y ejecuta transacciones fraudulentas. "

Si el banco usa autenticación multifactor que requiere contraseñas de un solo uso (OTP), el malware también solicita esta información en la página falsa.

Este tipo de robo de credenciales es similar a los ataques de phishing tradicionales, pero es más difícil de detectar porque la URL en la barra de direcciones del navegador es la del sitio web real y no es falsa.

"No es tan sofisticado como inyectar transacciones en sesiones de banca web en tiempo real, pero logra su objetivo de evadir la detección ", dijo Klein.

Esta característica de" reemplazo de página completa "está presente en la versión 2 de Tinba, que los investigadores de Trusteer han publicado recientemente. y descubierto y analizado. El malware viene con soporte para Google Chrome e intenta limitar su tráfico de red almacenando imágenes cargadas localmente en la página falsa.

Ya está en uso

Según los investigadores de Trusteer, Tinba v2 ya se usa en ataques dirigidos a instituciones y servicios web para consumidores.

"Los bancos siempre se han enfrentado a dos vectores de ataque en el canal en línea", dijo Klein. "El primero es el robo de credenciales. Hay varias maneras de ejecutar este tipo de ataque, incluyendo malware, pharming y phishing. El segundo vector de ataque es el secuestro de sesión que se logra a través del malware. Estos dos vectores requieren dos soluciones diferentes."

Banks deberían asegurarse de que tienen protección contra ambos tipos de ataque, de lo contrario los ciberdelincuentes adaptarán rápidamente sus técnicas, dijo Klein. "No se puede bloquear la puerta y dejar la ventana abierta".