25 de septiembre de 2018

Los troyanos bancarios modernos aplican varios trucos para robar dinero de las cuentas bancarias de sus víctimas – tanto los de alta tecnología, como los diseñados para abusar de ingenuidad o del despiste del usuario. Un banker detectado por los expertos de Doctor Web, del que vamos a hablar en este artículo, amenaza a los usuarios de sistemas de banca en línea brasileños. Hasta la fecha, fueron detectados más de 300 muestras únicas de este banker, así como más de 120 servidores usados por el mismo, y su difusión continúa.

El troyano añadido a las bases de virus Dr.Web como Trojan.PWS.Banker1.28321, se difunde como si fuera una aplicación de Adobe Reader destinada para ver los documentos en formato PDF. Al iniciarse, visualiza una ventana con la imagen del nombre de este programa.

El programa nocivo intenta detectar el entorno virtual, al detectar la máquina virtual, se finaliza. Así mismo, el banker supervisa la configuración de idioma local de Windows — si el idioma del sistema no es portugués, el troyano no realiza ninguna acción.

El módulo del descargador Trojan.PWS.Banker1.28321 fue realizado como un escenario en VBscript, y el troyano mismo fue creado en .NET. El script cargador se inicia con el objeto COM estándar MSScriptControl.ScriptControl. Se conecta al servidor de control y descarga del mismo dos archivos ZIP, en uno de los cuales se guarda la biblioteca dinámica ofuscada creada con el entorno de desarrollo Delphi. Esta biblioteca contiene las funciones clave del programa nocivo.

Cuando los usuarios abren en la ventana del navegador los sitios web de la banca en línea de algunas entidades financieras brasileñas, Trojan.PWS.Banker1.28321 de forma no autorizada suplanta la página web al visualiza a la víctima un formulario falsificado para introducir el nombre de usuario y la contraseña, y en algunos casos pide el código de comprobación de autorización recibido en un SMS enviado por el banco. Esta información el troyano la transfiere a los malintencionados.

Un esquema similar con suplantación del contenido de las páginas web consultadas por el usuario de los sistemas banca-cliente se usa por muchos troyanos bancarios, frecuentemente amenazan a clientes de entidades de crédito no solo en Brasil, sino también en todo el mundo. En el último mes, los expertos de Doctor Web detectaron más de 340 muestras únicas de Trojan.PWS.Banker1.28321, y también detectaron 129 dominios y direcciones IP de los recursos de Internet pertenecientes a los malintencionados desde los cuales el troyano descarga los archivos que contienen la biblioteca nociva. Esto significa que el banker es muy popular. La información sobre todas las muestras de Trojan.PWS.Banker1.28321 conocida hasta la fecha fue añadida a las bases de virus Dr.Web, y las direcciones de los servidores usados por el mismo — a las bases del web antivirus SpIDer Gate, por lo tanto, el troyano no amenaza a nuestros usuarios.

Más información sobre el troyano

#банкер #банковский_троянец #троянец