Nabload.U - Un nuevo troyano-espía


El troyano burla la seguridad de bancos on-line pudiendo conseguir las claves privadas de miles de usuarios hispanoparlantes , en espacial de entidades Bancarias Venezolanas





Hace sólo unas horas ha aparecido un nuevo troyano que se distribuye a través de Messenger: Nabload.U. Dicho troyano descarga otro troyano, Banker.BSX, que ya se ha colocado en el puesto número 1 en detecciones de la aplicación gratuita y on-line Panda ActiveScan. Su objetivo parecen ser conseguir las contraseñas de usuarios de habla hispana que accedan a la banca on-line de una serie de direcciones que lleva en su código, casi todas entidades bancarias de Venezuela y de otros países hispanohablantes.

La principal novedad que aporta este troyano es su capacidad para capturar información confidencial del usuario (login y password para acceder a su banco de forma on-line) sin necesidad de utilizar tradicionales capturadores de teclado (keyloggers) y lo hace sin ningún conocimiento por parte del usuario. Esto demuestra que las medidas que las entidades bancarias han tomado para evitar este tipo de robo de claves, como introducir un teclado virtual para que el usuario introduzca sus claves, son insuficientes.

Una vez el autor tiene dichas claves, puede acceder de forma on-line a dichas cuentas y cometer robos económicos que perjudique seriamente tanto a usuarios particulares como a empresas.

Según Luis Corrons, director de PandaLabs: "Este troyano es un ejemplo de mezcla de técnicas híbridas que es capaz de hacer que el usuario haga clic en la URL, descargar un troyano y poner en prácticas técnicas de spyware y phishing cuando el usuario va a su banco. Sin duda, se trata de un troyano diseñado para cometer robos económicos de forma rápida sin dejar pistas ni alertar al usuario de que algo pasa en su equipo".

Nabload.U utiliza la ingeniería social para conseguir que el usuario, sólo con una frase en castellano, "ve esa vaina http://hometown.%eliminado%.au/miralafoto/foto.exe", haga clic en un link que le proporciona. Se camufla haciéndose pasar por un contacto del usuario. Una vez el usuario accede a dicha URL, se descarga otro troyano, Banker.BSX. También puede ofrecer otras dos URLs alternativas: http://hometown.%eliminado%.au/arqarq/coco2006.jpg o http://hometown.%eliminado%.au/modnatal/coco2006.jpg, que descarga un fichero de configuración donde, entre otros datos, puede encontrarse la dirección de correo a la que el troyano enviará las contraseñas robadas.

Dicho troyano abre el puerto 1106 y se queda residente. De esta manera, cuando el usuario intenta acceder a algunas de las direcciones de bancos que se muestran a continuación, el troyano-espía es capaz de capturar todo lo que el usuario hace en la pantalla, incluyendo las claves de acceso a su banco que teclee mediante teclados virtuales. Las direcciones en las que el troyano puede capturar información son las siguientes:

https://secure2.venezolano.com/
https://e-bdvcp.banvenez.com
https://www.ibprovivienda.com.ve/personas/
https://banco.micasaeap.com/individualmc/
https://olb.todo1.com/servlet/msfv/
https://www.banesco.com/servicios_electronicos_pag.htm
https://www.banesconline.com
https://www.provinet.net/shtml/
https://bod.bodmillenium.com
https://www.corp-line.com.ve/personas/

Una vez ha capturado la información, el troyano envía dichos datos a una cuenta de correo, que el hacker tiene potestad de cambiar siempre que quiera. Una vez que dichas claves están en poder del autor del gusano, éste puede hacer cualquier cosa con ellas, incluyendo el robo económico, que puede perjudicar seriamente tanto a usuarios domésticos como a particulares.

 

Más información sobre Nabload.U y Banker.BSX en la Enciclopedia de Panda Software http://www.pandasoftware.es/virus_info/enciclopedia/.

Fuente:
pandasoftware.es



Otras noticias de interés:

Sitio de McAfee vulnerable al Cross-Site Scripting.
El sitio readwriteweb.com informa que el propio website de la popular empresa de seguridad americana McAfee, podría haber contenido por un descuidado diseño en cuanto las restricciones de seguridad, una vulnerabilidad del tipo Cross-Site Scripting....
Las páginas web de Presidencia y Defensa sufren un ataque informático
Las páginas web de los ministerio de Defensa y Presidencia sufrieron un ataque informático durante la madrugada de ayer que impidió el acceso a los respectivos sitios durante todo el día. La caída de las páginas se produjo tras un incremento de...
Relación de ACTA con las negociaciones de México en TPP
TPP, el Acuerdo Estratégico Trans-Pacífico de Asociación Económica, es una de las razones poderosas por las que México suscribió ACTA. Como cuando necesitas pasar Matemáticas I para inscribir Matemáticas II, la firma del acuerdo se entiende c...
Los discos duros encriptados no están seguros
Un grupo de investigadores apunta que la encriptación de los discos duros sigue dejando la puerta abierta a posibles fallos de seguridad. ...
Nueva técnica de spam que utiliza mensajes subliminales
PandaLabs ha detectado el envío de mensajes spam que utilizan técnicas de publicidad subliminal. A primera vista, se trata de un mensaje publicitario que ofrece a los usuarios la posibilidad de comprar online determinados paquetes de acciones. Sin ...
Menos malware, pero más inteligente
La industria antivirus ha desarrollado 1.381.967 nuevas firmas de virus para detectar y bloquear todo el malware conocido en la primera mitad de este año, y aunque la cifra es sencillamente impresionante, sólo es un 3,9% más que los 1.330.146 nuev...
Mozilla cierra agujero de seguridad que podría exponer datos de webs seguras
Páginas de banca online y de información personal podrían haber sido visibles para cualquiera que haya tenido acceso al software a través de la memoria caché, aunque según Firefox el fallo ya está solucionado los expertos en seguridad recomien...
DoS remoto afectaría al kernel de Windows XP SP2
Bugtraq ha publicado la existencia de una vulnerabilidad remota de denegación de servicio (DoS), en Microsoft Windows, de la que no se han proporcionado detalles técnicos....
Microsoft corrige 4 vulnerabilidades .NET
Microsoft publicó un último boletín de seguridad antes de acabar el año. El aviso MS11-100, publicado el jueves 29 de diciembre, se aparta de la norma de publicación de boletines de seguridad los segundos martes de cada mes a la que acostumbra e...
980 comunidades pedófilas descubiertas por denuncias de navegantes
Gracias a las informaciones aportadas por muchos navegantes y a la Asociación contra la Pornografía Infantil, que ha canalizado las denuncias sobre pornografía infantil en Internet, la Policía española ha conseguido indentificar 980 comunidades ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • espia
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • nabload
  • noticia
  • nuevo
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyano
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra