Este malware puede acceder a tu cuenta bancaria si cometes

Se ha observado a un grupo de ciberdelincuentes de habla rusa que combinan un poderoso malware para robar información con dominios con errores tipográficos para robar (se abre en una pestaña nueva) datos de inicio de sesión para sitios bancarios. La campaña fue detectada por los expertos en seguridad cibernética Hold Security y reportada por KrebsOnSecurity.

Según el informe, el grupo conocido como The Disneyland Team se enfoca en personas infectadas con un poderoso malware bancario llamado Gozi 2.0 (también conocido como Ursnif), que puede robar datos informáticos, recopilar identificaciones de usuarios e información financiera y desplegar malware adicional.

Pero Gozi por sí solo ya no será suficiente, ya que los fabricantes de navegadores han introducido varias medidas de seguridad a lo largo de los años para negarlo. Pero ahí es donde entra en juego el typequatting: la creación de sitios web de phishing con nombres de dominio que son errores ortográficos comunes en sitios legítimos.

Ayuda Gozi

Según KrebsOnSecurity: “En años anteriores, los estafadores como estos han utilizado ‘inyecciones web’ personalizadas para manipular lo que las víctimas de Gozi ven en sus navegadores web cuando visitan el sitio de su banco.

Estos podrían luego «copiar y/o interceptar cualquier dato que los usuarios ingresen en un formulario web, como un nombre de usuario y una contraseña. Sin embargo, la mayoría de los fabricantes de navegadores web han pasado años agregando protecciones de seguridad para bloquear estas actividades nefastas».

Entonces, para usar Gozi, los atacantes también agregaron sitios bancarios falsos en dominios con errores tipográficos. Ejemplos de tales dominios incluyen ushank[.]com (dirigido a personas que escriben mal usbank.com) o ạmeriprisẹ[.]com (dirigido a las personas que visitan ameriprise.com).

Notará pequeños puntos debajo de las letras a y e, y si pensó que era polvo en su pantalla, no sería el primero en caer en la trampa. Sin embargo, estas no son especificaciones, sino letras cirílicas que el navegador traduce al latín.

Por lo tanto, cuando la víctima visita estos sitios web bancarios falsos, se superponen con el malware, que transmite todo lo que la víctima escribe al sitio web del banco real, mientras se queda con una copia.

De esta manera, cuando el sitio web del banco real regrese con una solicitud de autenticación multifactor (MFA), el sitio web falso también lo solicitará, lo que hará que el MFA sea inútil.

Vía: KrebsOnSecurity (se abre en una nueva pestaña)

Share This