Español | English
rss facebook linkedin Twitter

Matando al enemigo

Existen ciertas medidas de protección que tratan de dificultar el funcionamiento de los troyanos bancarios. En concreto,
Trusteer Rapport se trata de un aplicativo que pretende asegurar "la comunicación entre el teclado y la página web". Según su propia página:

"Rapport secures browser communication from keyboard to website. It detects and prevents Man–in-the-Browser, Man-in-the-middle, phishing, and other attacks launched directly against the user."

En alguna prueba de laboratorio hemos constatado que realmente en un equipo con este software instalado ZeuS no era capaz de interceptar los datos introducidos, pero los chicos de ZeuS no se han cruzado de manos, y en una muestra de las últimas versiones de ZeuS comprobamos como nada más infectar una máquina, se descarga y ejecuta otro fichero cuyo cometido es inutilizar este software.




Este ejecutable termina los procesos activos y sobreescribe ciertos ficheros con ficheros vacíos, de tal manera que el programa no puede volver a ser arrancado.



El resultado es interesante, puesto que dicho programa es inutilizado sin que el usuario perciba ningún mensaje, aunque el icono del programa desaparecerá.


Actualización:

Tras contactar con Trusteer, hemos podido comprobar que tienen implementadas medidas que evitan el ataque comentado. Si bien es necesario una constante actualización de las medidas de seguridad, nos complace ver como Trusteer realmente se mantiene proactivamente al día respecto a estos ataques.


Mikel Gastesi
S21sec e-crime

4 comentarios:

R3v3rs3 dijo...

Joder, ciertamente interesante, como curran los notas de Zeus jeje.

Aún así el software de protección es interesante.

Salu2

Anónimo dijo...

¿Usted me puede decir que versión Zeus ensayo? ¿1.3 1.4 o cual otro? ¿Que versión de Trusteer?

Anónimo dijo...

¿Usted me puede decir que versión Zeus ensayo? ¿1.3 1.4 o cual otro? ¿Que versión de Trusteer?

S21sec e-crime dijo...

@R3v3rs3 Sí, si los chicos de ZeuS tratan de deshabilitarlo significa que funciona

@Anónimo La versión probada fue una de las 2.x, y el trusteer bajado de la página. Como puse en la actualización, hemos comprobado que la última versión de trusteer evitaba este ataque :)

Mikel,


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login