Un nuevo troyano
bancario, al que se denominó
Dyreza o Dyre,
tiene la capacidad de
saltear el protocolo SSL para simular conexiones
seguras en sitios de entidades financieras. Su código está diseñado para
que funcione de manera similar a
Zeus,
la conocida botnet diseñada para robar de información bancaria, y al
igual que otras amenazas similares, utiliza una técnica conocida como
browser hooking para interceptar el tráfico entre la máquina de la
víctima y el sitio web de destino. Puede hacer esto en Internet
Explorer, Google Chrome y Mozilla Firefox.
Se propaga a través de campañas de spam, en mails con asuntos como
"Su ID de pago FED TAX [número aleatorio]" y
"RE: Recibo #[número aleatorio]", según la
publicación de Peter Kruse, Partner & Security Specialist de CSIS, la compañía responsable del hallazgo.
El mensaje lleva adjunto un archivo ZIP y cuando el equipo está
infectado, el usuario piensa que está ingresando sus credenciales en el
sitio legítimo de su banco utilizando el protocolo SSL, pero
Dyreza
redirige el tráfico a sus propios servidores. Para hacerlo, utiliza un
ataque
Man In The Middle que le permite interceptar el tráfico no cifrado y ver todos los datos que se envían.
Tal como
explica el sitio Redes Zone,
una vez que el
troyano ha ha sido instalado, se coloca entre uno de los
procesos que deben ser ejecutados en el inicio del sistema operativo.
Lo primero que trata de hacer es establecer una serie de conexiones con
unas ubicaciones que han sido localizadas en Lituania y Estonia. Una vez
que estas se han establecido, se mantiene a la espera de que exista
tráfico web en el navegador del equipo.
Al parecer, los atacantes detrás de
Dyreza han creado una
infraestructura para transferir el dinero desde las cuentas de las
víctimas una vez que sus credenciales fueron robadas.
Según Kruse,
CSIS localizó algunos de los servidores C&C de la amenaza, y
descubrió una red de “mulas” con cuentas en Riga, Latvia. Se trata de
gente que accede a almacenar fondos robados por un corto período de
tiempo en sus propias cuentas, para luego transferirlos a otro lado.
Kruse plantea una duda: los responsables de Dyreza, ¿lo utilizan para
beneficio propio o están "alquilándolo" para que ayude a perpetrar otras
campañas, tal como sucedió con Zeus?
Fuente:
We Live Security
