• Tweet

Un troyano diseñado para interceptar informacion sensible de cuentabientes australianos ha sido descubierto, el cual puede eludir dos factores de autenticación, además de infectar con más de 600 sitios pornográficos a computadoras personales, de acuerdo a investigadores de seguridad.

El troyano que se instala por sí mismo como un archivo .midi del driver del reproductor de música de la plataforma Windows, no sólo roba contraseñas, tambien sesiones de cookies y certificados digitales, además de infectar con más de 600 sitios pornográficos a computadoras personales, de las cuales los atacantes utilizan para generar ingresos extras.

"La escala de emergencia y lo sofisticado de este troyano bancario es alarmante, incluso para alguien que observa troyanos bancarios diariamente”, dijo el Investigador en Seguridad de Symantec Liam OMurchu, en el blog de Symantec.

El troyano tiene como objetivo a clientes de más de 400 bancos alrededor del mundo, incluyendo bancos de Turquia, los Estados Unidos, Europa y bancos importantes de Australia.

Debido a que los bancos muestran su verdadera página Web a sus clientes, OMurchu teme que los clientes que utilizan dispositivos con un segundo factor de autenticación, por ejemplo una contraseña volátil, enviada por SMS o “dongles” de seguridad, los cuales generan códigos de autenticación aleatoria en cuestien de segundos, involuntariamente envian al atacante su dinero.

“La habilidad con la que cuenta este troyano se basa en realizar un ataque de 'man-in-the-middle' sobre las transacciones válidas lo cual es lo más preocupante. El troyano puede interceptar transacciones que requieren dos factores de autenticación. También puede cambiar de manera silenciosa el usuario de su cuenta bancaria hacia la cuenta del atacante“, comenta Omurchu.

El Administrador General de Tecnologia, Seguridad y Riesgo del Banco Nacional de Australia Gary Blair, dijo que es prácticamente imposible realizar el ataque de man-in-the-middle donde un SMS de dos factores de autenticación es utilizado. El Banco Nacional de Australia ofrece a sus clientes una contraseña volátil enviada por SMS al mismo tiempo que el cliente se encuentra realizando su transacción. Pero de acuerdo a McDonald Symantecs, este troyano puede ser exitoso incluso en este tipo de sistemas de autenticación.

Una variante de este troyano es que cambia a las PC's su Servidor de Nombres de Dominio (DNS por sus sigles en ingles) redireccionando los navegadores a servidores controlados por los atacantes.

"Un troyano similar que tiene como objetivo un banco común, se descubrió en noviembre del año pasado, como sea, este troyano es aún más avanzado", de acuerdo con Patrik Runald quien es el Manager del F-Secure, además de ser el descubridor del viejo troyano.

“El viejo troyano solo reemplazaba el contenido de la página de la autenticación, con lo cual podian hacer cargos a transacciones en tiempo real”, dijo a ZDNet.

“Hemos visto esto antes, este no es el primer troyano que puede hacer esto, pero es preocupante que estamos viendo más de ellos que pueden realizar cosas como esta ", añadió finalmente.