El ataque, descrito por primera vez por el director de tecnologías de Trusteer, Amit Klein, espera a que un cliente desprevenido haga uso de los servicios de la banca en línea e inicie sesión antes de avisarle que "los controles de seguridad" necesitan ser actualizados.    

 

A partir de ahí, el cliente recibe una serie de notificaciones que afirman que un representante del banco le ayudará - mediante el chat - a verificar su cuenta para evitar que sea bloqueada. En una pantalla de chat, a través de una combinación de inyecciones HTML y Javascript, las víctimas piensan que efectivamente están contactando a un representante del banco. Pero en realidad, están chateando con un delincuente que está tratando de conseguir nombres, contraseñas y otras credenciales  o datos bancarios.

 

Al mismo tiempo, Klein afirma que los atacantes han conectado técnicas de Man in the Browser y capacidades de phishing con la plataforma malware Shylock, para el secuestro de sesiones en tiempo real. Al pedir a los usuarios, terminar con las transacciones (falsas), los clientes son engañados sin darse cuenta.

 

Como hemos visto, los atacantes ya habían prácticado el secuestro de pantallas de chat en vivo -particularmente en casos donde simulan ser de soporte técnico-, pero en este 2012, parecen estar explotando el malware para formar un ataque multifacético.