26
septiembre
2006

Troyano bancario contra entidades españolas y latinoamericanas

combina keylogger + captura teclados virtuales
[Phishing] 
Este nuevo troyano destaca básicamente por afectar, entre otras, a un elevado número de entidades españolas y latinoamericanas, además de combinar eficazmente la técnica keylogger con un método optimizado para capturar los datos introducidos a través de los teclados virtuales.


A diferencia del troyano bancario que capturaba vídeo, este nuevo troyano realiza pequeñas capturas de un área de pantalla alrededor del cursor del ratón cada vez que el usuario hace click. Esta función se activa cuando se encuentra en alguna de las páginas webs de entidades financieras que monitoriza.


Además, el troyano incluye en la captura de pantalla una pequeña cruz roja, a modo de señal, que indica el punto exacto donde el usuario pinchó con el ratón. A efectos prácticos, el atacante recibe varias capturas de pantalla donde puede ver claramente que teclas del teclado virtual ha pulsado el usuario afectado.


Esta técnica supone una ventaja frente a la del vídeo en lo que respecta a rendimiento y consumo de ancho de banda, ya que en vez de tener que realizar una captura continua de vídeo para generar un AVI sólo se activa cuando el usuario hace click en el ratón para generar un JPG, además de que el tamaño de los gráficos generados que envía al atacante es muy inferior al del vídeo.


La combinación de este método y la función de keylogger tradicional le permite atacar con igual efectividad a las entidades de manera independiente a si utilizan teclados virtuales o no.


Podéis ver como funciona el troyano en su vertiente keylogger en el siguiente vídeo/flash:

http://www.hispasec.com/laboratorio/troyano_captura_banesto.htm


En este otro vídeo/flash se puede ver como funciona con un teclado virtual:

http://www.hispasec.com/laboratorio/troyano_captura_cajamurcia.htm


Para acceder a todos los detalles sobre el troyano, incluyendo una lista completa de entidades afectadas según país (Argentina, Bolivia, Brasil, Cabo Verde, España, Estados Unidos, Paraguay, Portugal, Uruguay y Venezuela), consultar el informe en PDF:

http://www.hispasec.com/laboratorio/troyano_spain_latino.pdf




Enviado por bquintero a las 11:33 | Enlace permanente | Comentarios (4) | Trackbacks (0)
Comentarios
Re: Troyano bancario contra entidades españolas y latinoamericanas

¿Cómo se llama el troyano? ¿Cómo lo denominan los antivirus?

Un saludo

Posted by: anonimo at septiembre 26,2006 13:08
Re: Troyano bancario contra entidades españolas y latinoamericanas

¿Sólo para IE, como es habitual?

Posted by: Pandemonium at septiembre 26,2006 21:28
Re: Troyano bancario contra entidades españolas y latinoamericanas

Sobre el nombre del troyano, y sin que sirva de precedente, esta vez medio se han puesto de acuerdo los antivirus: "Luzia" con diferentes terminaciones según versión.

Otros nombres son: Smalltroj.KDX, Troj/Certif-R, KeyLogger.610, Generic2.IPF,...

En cuanto a su porcentaje de detección, actualmente ronda el 50% (aun hay varios motores de los más extendidos comercialmente, y alguno no comercial, que no han incorporado su firma).

Respecto a si es sólo para IE, no, está diseñado en concreto para IE y Firefox.

Posted by: bquintero at septiembre 27,2006 03:26
Banesto se desentiende de los fraudes en Internet

Pues yo no se si habrá sido con un troyano, un keylogger o un satélite encima de mi PC pero el caso es que nos han robado dinero de la cuenta y Banesto se ha desentendido totalmente del asunto y no quieren darnos explicaciones al respecto, todo es: es culpa vuestra por facilitar los datos.

Podeis ver más al respecto en http://www.erola.es/blog/?p=383

Posted by: Dani at julio 09,2007 21:11
Trackbacks
Por favor envía los trackbacks a: http://blog.hispasec.nospam/laboratorio/159/tbZ3ping
Reemplazando "nospam" por "com"
No hay trackbacks.
Enviar un comentario