PANDA: Los troyanos bancarios imitan al phishing

logo_panda2.jpg

BanKey.A y BankFake.A son dos troyanos que muestran a los usuarios páginas falsas de supuestas web bancarias para robarles sus datos confidenciales

– Esta técnica permite a los ciber-delincuentes hacerse de una manera más sencilla con los datos bancarios de los usuarios

Una nueva hornada de troyanos está utilizando técnicas similares a las del phishing para robar datos bancarios a los usuarios. Los ejemplares BanKey.A y BankFake.A han sido dos de los últimos en aparecer. En ambos casos los troyanos, al ser ejecutados, muestran una interfaz que simula ser la de un banco online. En ella, se ofrece a los usuarios la posibilidad de introducir sus claves bancarias y su número de cuenta. Si lo hacen, realmente estarán dando esos datos a los creadores del malware.

“El peligro de estos troyanos es que pueden ser modificados fácilmente para afectar a un mayor número de bancos, a sistemas de pago, a casinos online, etc.”, explica Luis Corrons, Director Técnico de PandaLabs.

Para que los usuarios no sospechen del fraude, una vez se han introducido los datos, ambos códigos maliciosos muestran un mensaje de error, pidiendo disculpas por no poder prestar el servicio correctamente. BankFake.A, además, tras mostrar ese mensaje, redirecciona al usuario a la web legal del banco, donde podrá repetir el proceso, esta vez de forma legal. De esta manera, el usuario no tendrá motivos para sospechar que ha sido estafado.

Los datos robados son enviados por correo electrónico a sus respectivos creadores. BankFake.A utiliza una conexión segura SMTP, a través del puerto 465 y envía los datos cifrados, para asegurarse que nadie más tiene acceso a ellos. BanKey.A, por su parte, envía los datos a una cuenta de Gmail, utilizando para ello una plantilla establecida por el propio código malicioso.

“Este tipo de códigos maliciosos presentan varias ventajas para los ciber-delincuentes frente al phishing tradicional. En primer lugar, son más sencillas ya que los creadores de malware no necesitan contratar un servicio de hosting donde alojar la página de correo falsa. Además, al no necesitar alojamiento web disminuyen las posibilidades de que sus huellas sean rastreadas y se aseguran de que la efectividad de sus delitos no depende de un proveedor externo”, explica Luis Corrons.

Otra característica en común entre ambos códigos maliciosos es que se instalan en los ordenadores con la apariencia de un acceso directo a Internet Explorer de Windows.

Los dos pueden llegar como un archivo adjunto en un correo electrónico o como parte de una descarga de Internet. Además, BankFake.A es descargado en los ordenadores por el troyano Downloader.OPY.

Leave a Reply

five × 4 =

This site uses Akismet to reduce spam. Learn how your comment data is processed.