Blog Laboratorio Hispasec

Comienza a ser una estrategia bastante común. El atacante lanza un troyano que haga capturas genéricas o concretas de entidades bancarias. En los equipos que logra infectar, el troyano va enviando al servidor las URLs y datos de los formularios seguros por los que navega el usuario.

El atacante va examinando los datos que le van llegando al servidor, buscando entre las URLs capturadas webs de banca electrónica, y prepara páginas de phishing específicas en base a las entidades que más se repiten entre los usuarios infectados.

Desde el servidor indica a los troyanos que cuando el usuario navegue por ciertas páginas de banca los rediriga a los contenidos de los phishings que ha preparado. A partir de entonces, cuando los usuarios infectados visitan la página de su banco, el troyano los redirige a la falsa.

Si un banco detecta la página fraudulenta y la consigue desactivar, el atacante sólo tiene que hospedar la página de phishing en otro servidor y actualizar los datos. Dado que utiliza servidores diferentes para comunicarse con el troyano y hospedar las páginas de phishing, hasta que el banco no cierre el servidor que controla a los troyanos los usuarios infectados seguirán en peligro.

En ocasiones las entidades detectan páginas de phishing de las que no han tenido noticias por correos electrónicos, no han detectado que se haya hecho un spam solicitando a los usuarios que visiten esas páginas. ¿Algún atacante despistado? ¿Detección antes de que se lance el ataque?... ¿o es que forma parte de un ataque de phishing segmentado y/o troyano?