• +(57 1) 745-7312
  • contacto@openitnet.com

NOTICIAS

BackSwap, el banker que simula ser un usuario

A pesar de que los bankers están perdiendo popularidad, en favor de los malware de minado de criptomonedas, los investigadores de ESET han descubierto una nueva familia de malware bancario que simula las pulsaciones de un usuario para evitar ser detectado.

El malware simplifica el proceso de inyección monitorizando el bucle de mensajes del sistema de ventanas de Windows e inyectando el código en la consola JavaScript del navegador cuando se detecta que el usuario se conecta a la página del banco.

El malware se distribuye mediante campañas de spam dirigidas principalmente a usuarios Polacos, en donde el gancho suele ser la actualización de una aplicación legítima, como TPVCGateway, SQLMon, DbgView, WinRAR Uninstaller, 7Zip, OllyDbg o FileZilla Server.

Estas aplicaciones están modificadas para ejecutar el código malicioso contenido en la función _initterm(), que es la que inicializa los punteros y variables antes de la ejecución del 'main()'. Esto dificulta la detección, al no verse ningún comportamiento anómalo al inicio de la ejecución del programa.

Ejecución del código malicioso. Fuente: www.welivesecurity.com


Pero la novedad que introduce esta nueva familia es el procedimiento de inyección, que no utiliza complejos procesos de inyección, ni implementaciones específicas para los distintos navegadores. En lugar de esto, el malware utiliza el bucle de mensajes de Windows para detectar si la víctima está accediendo a la banca electrónica y cargar el código JavaScript malicioso en el navegador. Para ello el troyano guarda en el portapapeles el código y lo pega en la consola JavaScript del navegador simulando las pulsaciones de las teclas CTRL+SHIFT+J (para abrir la consola) CTRL+V y ENTER (para pegar y ejecutar el código) y finalmente la combinación para cerrarla, todo ello sin que la víctima perciba nada más que un pequeño cuelgue del navegador.

En nuevas versiones el malware utiliza la barra de direcciones para inyectar el código malicioso. Simulando también las pulsaciones de un usuario para evitar los mecanismos de seguridad. 

Hasta el momento las muestras encontradas están dirigidas a bancos Polacos, pero como siempre, desde Hispasec recomendamos no abrir correos con adjuntos no solicitados o no confiables.

Algunos IOCs:


Fuente: Hispasec.com

7. Gestión de Proyectos

2020-02-13 Hits:482

Las herramientas de gestión de proyectos son adecuadas para aquellas empresas que deben ejecutar múltiples actividades para completar una venta;

Leer Más...

6. Gestión de Listas de Correo

2019-06-17 Hits:787

Una excelente forma de mantenerse en contacto con los clientes y prospectos sobre novedades, lanzamientos, eventos y noticias de nuestra empresa es mediante la gestión de listas de correo. Como en el caso del servidor de correo, existen muchas opciones...

Leer Más...

5. Servidor Web.

2019-03-07 Hits:583

¡Muy bien! Ya tenemos nuestro flamante nuevo sitio web al aire, y todos nuestros clientes nos felicitan por lo lindo y moderno que quedó. Pero ahora viene lo interesante… ¿Como hacemos para mantenerlo actualizado y que nuestros visitantes se mantengan...

Leer Más...

WordPress: importante crecimiento de ataques a sitios que utilizan el plugin File Manager. Días después de conocers… https://t.co/KVcB9Uq8EX

Los mejores antivirus gratis para Windows en 2020. La seguridad de tus datos y tu privacidad no es algo que deba to… https://t.co/LyQPpEPu5q

Somos una empresa de soluciones en consultoría informática, especializada en instalación de aplicaciones corporativas y administración de infraestructura tecnológica, con énfasis en pequeñas y medianas empresas (Pymes).

INFORMACIÓN

Calle 67 # 8-16 Of. 304 Bogotá, Colombia

+(57 1) 745-7312

This email address is being protected from spambots. You need JavaScript enabled to view it.

Tweets

Microsoft lanza el parche de seguridad de Septiembre con 129 vulnerabilidades es un lote de actualizaciones de segu… https://t.co/7ZCGQWfQyL

WordPress: importante crecimiento de ataques a sitios que utilizan el plugin File Manager. Días después de conocers… https://t.co/KVcB9Uq8EX

Search