Identificado un nuevo troyano dirigido a los usuarios de entidades bancarias de diversos países, entre los que destacan Alemania, España, EEUU y Reino Unido.
El espécimen está especializado en capturar las credenciales de acceso a la banca electrónica, lo que permite a los atacantes suplantar la identidad de los usuarios infectados y realizar transferencias desde sus cuentas. ESET NOD32 ha sido el primer antivirus en proporcionar protección frente a esta nueva amenaza, que detecta con el nombre de «Win32/Spy.Agent.NFS».
El troyano monitoriza las direcciones del navegador de los sistemas infectados, y se activa cuando detecta que el usuario se dirige a la página web de algunas entidades bancarias. Para saber cuando debe capturar las contraseñas del usuario, el troyano descarga un archivo desde un servidor de Internet donde mantiene los dominios y URLs de los bancos a atacar.
El listado de dominios al que se dirige Win32/Spy.Agent.NFS es el siguiente:
53.com
bancaja.*
bancajaproximaempresas.com
bancopopular.es
banesto.es
banesto.es
banking.*.de
bankofamerica.com
bankofamerica.com
barclays.co.uk
cahoot.com
cbonline.co.uk
chase.com
citibank.com
citibank.de
citizensbankonline.com
comdirect.de
dresdner-privat.de
e-gold.com
ebank.hsbc.co.uk
fiducia.de
gruposantander.es
halifax-online.co.uk
lloydstsb.co.uk
lloydstsb.com
nationalcity.com
norisbank.de
openbank.es
paypal.com
suntrust.com
tdcanadatrust.com
unicaja.es
usbank.com
vr-networld-ebanking.de
wachovia.com
wamu.com
wellsfargo.com
ybonline.co.uk
Dependiendo de la entidad el troyano llega incluso a modificar en tiempo real la página web del banco, presentando campos adicionales en los formularios de autenticación. Es decir, en vez de solicitar únicamente usuario y clave de acceso, el troyano puede hacer aparecer en la página web de la entidad un tercer campo solicitando la clave necesaria para confirmar las operaciones. De esta forma los atacantes consiguen todos los datos necesarios para suplantar la identidad de la víctima y realizar transferencias desde sus cuentas.
Los troyanos especializados en la captura de credenciales bancarias no son una novedad, sino todo lo contrario, a día de hoy destacan como una de las familias más prolíficas entre el malware orientado al fraude. Es por ello que la industria antivirus está en constante evolución, incorporando técnicas de detección proactivas para prevenir su amenaza. Sin embargo, este nuevo troyano se ha caracterizado por no ser detectado por ninguno de los más de 30 antivirus probados en el momento de su distribución, lo que lo convertía en prácticamente invisible.
[tags]Ontinet, Eset, Troyanos[/tags]