Nueva versión del troyano CoreBot permite robar credenciales bancarias

powerpoint_malware

El recientemente descubierto troyano CoreBot ha evolucionado y ahora permite robar credenciales bancarias e información personal. Según informa SC Magazine, esta amenaza se encuentra propagándose activamente durante estos días, aunque todavía no ha causado muchos daños.

Carácterísticas de CoreBot

CoreBot ha pasado de ser una amenaza genérica dedicada al robo de información a ser un troyano bancario que tiene como blanco a 33 instituciones financieras en Estados Unidos, Canadá y el Reino Unido. Esto ha sido posible gracias a su diseño, compuesto por distintos módulos que representan funcionalidades maliciosas y que se pueden ir agregando a la amenaza. Así lo explicaron miembros del equipo de investigación de IBM X-Force cuando lo descubrieron.

El plugin principal que descarga esta amenaza es detectado por las soluciones de ESET como Win32/PSW.Agent.OAX.

Actualmente, CoreBot tiene las siguientes características y capacidades:

  • Hooks en navegadores como Internet Explorer, Firefox y Google Chrome
  • Funciones genéricas de captura de formularios en tiempo real
  • Módulo VNC para control remoto
  • Ataques Man-In-The-Middle (MITM) para el secuestro de la sesión
  • Ejecución de acciones ante el ingreso de ciertas URL (preconfigurado para atacar entidades bancarias)
  • Mecanismo de webinjection propio
  • Posibilidad de cargar webinjects sobre la marcha, desde un servidor remoto
Funcionamiento del malware

Una vez instalado en el sistema, además de robar credenciales, utiliza técnicas de Ingenería Social para engañar a la víctima para que entregue su información personal y busca tomar el control de su sesión en el navegador.

La incorporación de nuevas capacidades en CoreBot nos recuerda que la evolución de los troyanos bancarios es constante, con el objetivo de interceptar transacciones online y obtener así beneficio económico.

“En su empecinada búsqueda de ganancias económicas, los cibercriminales atacan directamente sobre los sitios donde los usuarios manejan su dinero, es decir, sus cuentas bancarias. Con el desarrollo de posibilidades para hacer todo tipo de transacciones por Internet, era inevitable que pusieran su atención en tratar de vulnerar estos servicios”, explicó Camilo Gutierrez, Security Researcher de ESET, al establecer el top 5 de amenazas dedicadas al robo de credenciales bancarias.

Conclusión

Falta por ver cuáles serán los próximos pasos de los creadores de CoreBot y, por supuesto, protegerse con una solución de seguridad que detecte amenazas de este tipo y proteja las transacciones en línea frente a los riesgos que corren los usuarios de banca online.

Además, aquellos usuarios que busquen una protección adicional para evitar casos de phishing en sus transacciones de banca online se alegrarán al saber que la nueva versión de ESET Smart Security 9 (actualmente disponible en fase beta) dispone de un módulo de protección específico desarrollado con este fin.

Josep Albors a partir de un post de Sabrina Pagnotta en WeLiveSecurity

 

Internet gratis a cambio de problemas de seguridad y tu privacidad