Los troyanos bancarios han demostrado ser herramientas fiables y eficaces para que los atacantes interesados puedan robar grandes cantidades de dinero a las víctimas de manera sigilosa. 

Zeus, Carberp y muchos otros han sigificado mucho dinero para los atacantes que los utilizan y los investigadores han estado buscando un nuevo troyano bancario que tiene la capacidad de pasar por alto la protección de SSL en las sesiones bancarias y redirigir el tráfico a través de los dominios de los atacantes.

El troyano, nombrado por los investigadores como Dyre o Dyreza, utiliza una técnica conocida como browser hooking para interceptar el tráfico que fluye entre la máquina de la víctima y el sitio web de destino.

El malware llega a las bandejas de entrada de los usuarios a través de mensajes de spam, muchos de ellos contienen mensajes que provienen de una institución financiera. La lista de bancos dirigidos incluye Bank of America, Natwest, Citibank, RBS y Ulsterbank. Los investigadores dicen que gran parte de la actividad de estos troyanos hasta ahora se da en el Reino Unido.

Cuando la víctima abre el archivo zip adjunto de un mensaje de spam, el malware se instala en la máquina y luego contacta con un servidor de comando y control. Investigadores de CSIS en Dinamarca localizaron un par de servidores C2 y descubrieron que uno de ellos tenía un marco de contrabando integrado con varias cuentas en Letonia. El objetivo del malware era robar las credenciales de los usuarios de la banca en línea y otros sitios financieros. Diversos troyanos bancarios implementan diferentes maneras de estafar, los creadores de Dyreza decidieron emplear browser hooking para vencer el SSL.

"El tráfico, al navegar por Internet está siendo controlado por los atacantes. Utilizan un ataque llamado MiTM (hombre en el medio) que permite leer cualquier cosa, incluso el tráfico SSL. De esta manera ellos también tratarán de eludir 2FA ", sostiene un análisis de Peter Kruse del CSIS.

Cuando los usuarios van a uno de los sitios financieros específicos y tratan de iniciar sesión, los datos son interceptados por el malware y se envían directamente a los atacantes. Las víctimas no tendrán ninguna señal visual de que sus datos hayan sido desviados o que el malware haya redirigido su tráfico a un dominio controlado por los atacantes y que ya no esté cifrado.

"Todo debe ir cifrado y nunca en el claro. Mediante el uso de 'prestidigitacion', los atacantes hacen que parezca que todavía estás en el sitio web y trabajando con HTTPS. Pero en realidad el tráfico se está redirigiendo a una página de los atacantes", señala otro análisis de Ronnie Tokazowski de PhishMe.

"Para redirigir el tráfico con éxito, los atacantes tienen que ser capaces de ver el tráfico antes del cifrado, y en el caso de los navegadores, esto se hace con una técnica llamada browser hooking. No hay consultas DNS, lo que sugiere que los atacantes simplemente agregan esto al campo host en el tráfico de red. "

El malware Dyreza tiene la capacidad de afectar a Google Chrome, Mozilla Firefox e Internet Explorer.