martes, 26 de septiembre de 2006

Nuevo troyano bancario dirigido a entidades españolas y latinoamericanas

Descubierto un nuevo troyano bancario que combina la captura del
teclado físico con una técnica optimizada para los teclados virtuales.
Está diseñado específicamente contra los usuarios de diversas
entidades de Argentina, Bolivia, Brasil, Cabo Verde, España, Estados
Unidos, Paraguay, Portugal, Uruguay y Venezuela.

La principal novedad de este troyano reside en la combinación de la
técnica keylogger tradicional con un método de captura de pantalla
optimizado para los teclados virtuales. Esta combinación le permite
atacar a una gran variedad de páginas de autenticación de acceso a
la banca electrónica, de manera independiente a si utilizan o no
teclados virtuales.

Vídeo/Flash del troyano en la web de Banesto (técnica keylogger):
http://www.hispasec.com/laboratorio/troyano_captura_banesto.htm

El método que utiliza contra los teclados virtuales consiste en
realizar una pequeña captura de un área de pantalla, alrededor del
cursor del ratón, en el momento que el usuario hace click en la tecla
virtual. Adicionalmente, y para que el atacante no tenga la menor
duda, el troyano incluye en la imagen capturada una señal en color
rojo que indica el punto exacto donde el usuario pinchó con el ratón.

Vídeo/Flash del troyano en la web de Caja Murcia (teclado virtual):
http://www.hispasec.com/laboratorio/troyano_captura_cajamurcia.htm

Tanto el log del keylogger en formato texto, como los archivos de
imágenes capturadas en formato JPG, son enviadas por FTP al ordenador
del atacante. Una vez recibe los datos, el atacante puede hacerse
pasar por la víctima y suplantar su identidad en la web de la
entidad bancaria.

Este troyano, aunque también afecta a bancos de EE.UU o Portugal,
entre otros países, tiene su objetivo mayoritario en entidades
españolas y latinoamericanas.

Según países, el troyano se dirige a las siguientes entidades:

ARGENTINA: Banco Hipotecario, Banco de La Pampa, Banco de la Provincia de Buenos Aires, Banco Credicoop Coop. Ltdo., Banco Ciudad de Buenos Aires, Banca Nazionale del Lavoro, ABN AMRO Argentina, Banco Itaú del Buen Ayre, Banco Patagonia, Banco Macro Bansud, BankBoston, Banco RIO, Banco Comafi y Banco del Chubut.

BOLIVIA: Banco Ganadero, Banco BISA, Banco de Crédito de Bolivia,
Banco Santa Cruz, Banco Solidario y Banco Central de Bolivia.

BRASIL: Caixa Econômica Federal, Banrisul, Banco do Estado de Santa
Catarina, Banco Rural, Santander Banespa, Banco do Brasil, Banparanet,
e-tim y CitiBank Brasil.

CABO VERDE: Banco de Cabo Verde

ESPAÑA: Banca March, Bancaja, BBVA, Fibanc, Banco de Valencia,
Banesto, Banco Finantia Sofinloc, Banco Espirito Santo, Banco Cetelem,
Banco Gallego, Banco Guipuzcoano, Banco Urquijo, Barclays, Banco
Popular, Bankoa, Bansacar, Santander Central Hispano, Bbk,
Caixa Laietana, Caja Castilla La Mancha, Caja de Extremadura,
Caja Granada, Caixa Girona y Caja Murcia.

ESTADOS UNIDOS: Bank of America y Citibank.

PARAGUAY: Interbanco, Banco Amambay, Banco Continental SAECA, Banco Regional, Banco Sudameris, Abogacía del Tesoro y BBVA.

PORTUGAL: Banco de Portugal, Millennium bcp, Banif - Banco
Internacional do Funchal, BBVA Portugal, Banco Finantia, Barclays
Bank, CitiBank Portugal y Banco Invest.

URUGUAY: BBVA, Nuevo Banco Comercial, Banco Surinvest, BankBoston y CitiBank.

VENEZUELA: Banco Mercantil y Banco Banesco.

Más información sobre como funciona el troyano, un análisis técnico
detallado, conclusiones y comentarios adicionales, pueden encontrarse
en el siguiente informe (formato PDF):

http://www.hispasec.com/laboratorio/troyano_spain_latino.pdf


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

05/09/06 Troyano bancario captura en vídeo la pantalla del usuario
http://www.hispasec.com/unaaldia/2873

12/07/2006 - Troyanos bancarios y evolución del phishing
http://www.hispasec.com/unaaldia/2818