• Tweet

Investigadores de seguridad de Symantec alertan de un nuevo troyano bancario capaz de secuestrar las conexiones SSL entre navegadores y sitios de banca en línea de una manera que es difícil detectar.

Las variantes de este malware, el cual Symantec detectó como Trojan.Tatanag, han estado en circulación desde finales de Octubre, pero se cree que su código está basado en una amenaza pasada llamada W32.Spamuzle.

El troyano tiene una arquitectura modular, con componentes separados manejando diferentes tareas, y la funcionalidad de muchos malware bancarios.

Puede inyectar codigo HTML en las páginas (ataque Man-In-The-Browser), interrumpe el software antivirus, desinstala otros troyanos bancarios y habilita el acceso remoto de Windows.

También cuenta con un componente de puerta trasera a través del cual los atacantes pueden emitir comandos para controlar los equipos infectados.

Sin embargo, la funcionalidad más interesante de este troyano es su habilidad de funcionar como un proxy entre el navegador y sitios Web protegidos con SSL.

Esto se logra secuestrando la conexión SSL legítima y estableciendo una nueva con el navegador final usando un certificado autofirmado.

Las alertas son bloqueadas y las excepciones son agregadas automáticamente en el navegador haciendo el ataque casi transparente para los usuarios.

El prefijo HTTPS está presente, como es el candado que indica una conexión SSL. La única manera para que el usuario se percate de que no utiliza el certificado de su banco sería comprobar manualmente al emisor.

Tatanarg es uno de varios troyanos bancarios que aparecen desde la represión de las operaciones contra el ciberfraude basados en ZeuS el año pasado. Parece que insatisfechos, las bandas criminales han comenzado a desarrollar sus propios malware personalizados.

También intentan idear métodos innovadores de ataque. Sólo la última semana, Trusteer reportó sobre un troyano llamado OddJob, que obliga a los navegadores a mantener la sesión abierta después que los usuarios piensan que la han cerrado exitosamente.

Los usuarios deben siempre mantener sus programas antivirus actualizados para asegurarse que tienen la ultima protección disponible. También, si es posible, la banca en línea deberá ser realizada desde un equipo exclusivo para ello o un Live CD.