30 nov 2013

El troyano #Neverquest se convierte en la nueva amenaza bancaria

Buenas a todos,
Como algunos recordaréis, el pasado mes de julio Kaspersky Labs dio la voz de alarma al detectar la presencia de un nuevo troyano bancario. Según informa la casa de antivirus, este mes se ha detectado una actividad muy significativa, disparándose el número de infecciones en equipos domésticos.
Al parecer, el malware estaría llegando a los usuarios a través de instaladores infectados del tipo Flash Player y similares. Una vez ejecutado, el troyano se despliega en el equipo proporcionando a su botmaster el control de la máquina.
La muestra del malware ha sido bautizada como "Trojan-Banker.Win32/64.Neverquest", por lo que parece ser que solo afecta a sistemas Windows.
El sistema que utiliza Neverquest para robar datos se centra en un sistema de detección de páginas visitadas por el usuario, con el que cuando es detectada una página determinada inyecta un código HTML para robar datos de autenticación y registro.
Es importante reseñar algunos de los datos que solicita Neverquest:
  • Números de las tarjetas de crédito
  • Fecha de caducidad
  • CCV
  • Clave
Como veis, son los datos que se requieren principalmente para hacer compras online. Además, Kaspersky señaló que entre los sitios susceptibles de ataque, está fidelity.com, propiedad de Fidelity Investments, un fondo de inversión global que desde su página web permite a clientes una gran variedad de operaciones online, incluso negociar en Bolsa.
Por el momento, los países más afectados son Alemania, Italia y Turquía, pero ello no quita que no llegue pronto a otros países.
¡Cuidado con los instaladores de flash!
Saludos!

2 comentarios:

  1. Buenas,
    en este post hay un fallo de concepto. Este malware, y la mayoría de los troyanos bancarios, no redirigen al usuario a otras páginas donde haya un phising, no. Sino que inyectan código HTML en las URL que quieren atacar para solicitar al usuario infectado datos adicionales (tarjeta de coordenadas, pins, etc...). Y por otro lado capturan los datos que se han introducido en estos campos inyectados y en otros formularios para recoger esa información en claro siempre ya que están inyectados en el proceso del navegador.

    Entonces no es posible saber si has sido infectado mirando la URL. Aunque estés infectado y se haya inyectado HTML la URL sigue siendo la misma, incluso el certificado será correcto.

    Es solo por aclararlo.
    Un saludo!

    ResponderEliminar