lunes, 15 de noviembre de 2004

Troyano que captura contraseñas de acceso a la banca online

Banker-AJ es un troyano que reside de forma silenciosa en los PC
con Windows que logra infectar. Únicamente se activa cuando el
usuario visita determinadas sedes web de bancos ingleses,
capturando las credenciales de acceso e incluso capturando las
pantallas para conocer el estado de las cuentas corrientes.

Una de las tendencias que vemos en los últimos meses es la
eliminación de las distinciones entre los diferentes tipos de
malware. Cada días es más difícil definirlos como simples virus,
gusanos, troyanos y otras variantes. La mayoría de los virus
actuales utilizan las tácticas de los gusanos para su
distribución y muchos troyanos pueden actuar como auténticos
virus.

Como muestra de esta nueva evolución del malware, el troyano
Banker-AJ. Se trata de un troyano que se instala en los
ordenadores que ejecutan el sistema operativo Windows y queda
latente, esperando que se realice una visita a alguna de las
sedes web de banca online (Abbey, Barclays, Egg, HSBC, Lloyds
TSB, Nationwide y NatWest). En el momento que el usuario visita
una de estas sedes, el troyano se activa y captura las
credenciales de acceso (usuario y contraseña). Esta información
es enviada automáticamente a los autores del troyano, de forma
que éstos disponen de todos los datos requeridos para poder
acceder fraudulentamente a las cuentas de los usuarios
infectados.

Pero el troyano va más allá. Para que los autores del mismo
puedan determinar si realmente vale la pena utilizar las
credenciales obtenidas, el troyano realiza capturas de pantalla
mientras el usuario está dentro del banco online. Estas capturas
de pantalla también están a disposición de los atacantes, por lo
que conocen los saldos de las diferentes cuentas corrientes.

Banker-AJ representa una nueva evolución en el malware, altamente
especializado y con un objetivo muy concreto. También puede
llegar a considerarse una nueva forma de phishing donde si bien
continua necesitando que el usuario realice una operación
concreta (acceder a la banca online) esta acción no precisa
ninguna actuación específica por parte del atacante como puede
ser el envío de un mensaje que simule el servicio web atacado.


Xavier Caballé
xavi@hispasec.com


Más información:

Trojan horse spies on Web banking
http://news.com.com/Trojan+horse+spies+on+Web+banking/2100-
7349_3-5448622.html?part=rss&tag=5448622&subj=news.7349.5

Trojan Mugs UK Web Banking
http://www.linuxinsider.com/story/news/38058.html

Sophos Virus Analysis: Banker-AJ
http://www.sophos.com/virusinfo/analyses/trojbankeraj.html

Secunia Virus Information: Banker-AJ
http://secunia.com/virus_information/13289/banker-aj/