Español | English
rss facebook linkedin Twitter

Si tú lo dices debe ser cierto ¿o quizá no?

A veces no hacen falta sofisticadas técnicas o inyecciones para conseguir el objetivo, basta con un poco de ingeniería social para que la víctima introduzca casi cualquier dato solicitado, incluso aunque dicho dato se trate de la tarjeta de crédito en un sitio que nunca te la habría pedido.

En el caso que nos ocupa, una infección de Citadel altera varias webs conocidas con una inyección, para solicitar datos bancarios al ingresar en sitios como Facebook, MSN o incluso Gmail.

El proceso es el siguiente:

Tras la infección del troyano (Citadel 1.3.5.1 en este caso), éste empieza a monitorizar al usuario hasta que ingresa en una de las páginas recogidas en la configuración del troyano.


En este punto, el troyano inyecta código de manera local en el navegador del usuario (de ahí el nombre de inyección), alterando el comportamiento de la página web y añadiendo una serie de campos, entre los que se incluyen el número de la tarjeta de crédito, fecha de caducidad, CVV, el nombre completo o incluso el nombre de soltera de la madre.

Si un incauto rellena los datos, estos serán enviados a un servidor controlado por los ciberdelincuentes, desde el cual podrán empezar a hacer un uso fraudulento de los mismos.



En el caso que nos atañe, la inyección es bastante genérica ya que tanto en Facebook, como en Amazon, como en MSN, los datos que pide la inyección son exactamente los mismos (de hecho, creemos que los distribuidores de esta muestra de citadel se han equivocado, ya que pide una autenticación de Netflix cuando accedes a MSN). Por otro lado, la inyección aparece en inglés aunque se esté visitando la web española de amazon, como se puede apreciar en la captura superior.



Como nota final, recordar que pese a que los troyanos en general buscan pasar desapercibidos en el sistema, una muestra clara de infección del sistema, es la modificación de páginas web, tanto las vistas en líneas anteriores, como páginas bancarias (la petición de la tarjeta de coordenadas al completo por ejemplo) con lo que en caso de duda, es mejor no introducir ningún dato y ponerse en contacto con los administradores de la página.

Santiago Vicente y Mario González
S21sec Ecrime


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login