Páginas

martes, 28 de junio de 2016

Retefe. El troyano bancario que utiliza certificado digital

Durante el año 2014 y 2015, se realizaron campañas agresivas para informando sobre los troyanos bancarios. Hoy en día los hackers detrás del troyano Retefe han hecho cambios sobre su código y han añadido nuevos trucos en el modo de operación de su software malicioso.


La versión mas reciente de Retefe aprovecha el correo electrónico spam que distribuye documentos con código malicioso en javascript. Cuando un usuario abre el documento adjunto y hace click sobre la imagen incrustada, el código javascript se ejecuta y realiza dos operaciones. Primero se descarga e instala en certificado digital raíz malicioso y segundo cambia la configuración automática del proxy del sistema operativo.


Cuando el certificado digital se ha instalado, el usuario le aparece una ventana emergente en la pagina, la cual le pide que confirme la acción y debido a que el troyano hace uso de un script de PowerShell para hacer que el click se realice de forma automática.


Avast ha verificado el certificado que la ventana emergente solicita instalarlo e indica que es de Comodo, en su verificación han detectado que este es emitido por “me@myhost.mydomain” el cual no tiene nada que ver con Comodo.


Este certificado muestra el protocolo HTTPS para dar confianza a la victima y así enviar todo el trafico por la red TOR hacia su propio servidor. Aquí es donde solicitan las credenciales de la victima.



Fuente: Softpedia

No hay comentarios.:

Publicar un comentario