Un dato curioso - bancos israelíes no se han apuntado por el malware bancario. Hasta ahora. Kaspersky investigadores han descubierto recientemente el primer troyano bancario hacer precisamente eso, la orientación bancos israelíes. El troyano ha sido denominado ATMZombie.
ATMZombie se aplica la técnica de proxy que cambia muy conocido para olfatear el tráfico a páginas bancarias. Después de una serie de actividades maliciosas, dinero de las víctimas se recuperan de los cajeros automáticos de los llamados mulas de dinero.
Más acerca de ATM Malware
¿Cómo funciona el trabajo ATMZombie?
Uno de los métodos empleados por ATMZombie se conoce como proxy-cambiante y es ampliamente utilizado para la inspección de paquetes HTTP. Esencialmente, cambios de proxy implican la modificación de las configuraciones de proxy del navegador y aprovechar el tráfico entre el cliente y el servidor. En este caso, Proxy cambiar actúa como un hombre-en-medio-tipo de ataque.
Más acerca de Las redes de bots bancarios
Los atacantes también encontraron una manera de transmitir los datos bancarios y rompiendo así el tráfico HTTPS mediante la emisión de su propio certificado, incrustado en el gotero de Troya y puesto en práctica en la entidad de certificación raíz (California) lista en el ordenador de la víctima.
De hecho, proxy-cambio no es una técnica revolucionaria en los ataques de malware. Como ya se ha mencionado, proxy-cambio es todo acerca de cómo modificar los archivos de configuración de proxy del navegador y la sustitución de los archivos de configuración automática de proxy por defecto del navegador (o archivos PAC).
En el caso de ATMZombie, los archivos PAC maliciosos canal de tráfico del navegador a través del nodo intermedio del atacante.
Los investigadores describen la próxima etapa del ataque como una etapa modo manual ya que se limita sólo a los bancos israelíes. Esto se debe a un servicio local que permite al titular de la cuenta bancaria para transferir dinero a otras personas sin cuentas bancarias o tarjetas de crédito.
Los investigadores creen que los atacantes son locales,
operadores de ATMZombie utilizan credenciales bancarias robadas para iniciar sesión en cuentas de las víctimas y enviar pagos pequeños a sus llamados ‘mulas de dinero’. Los operadores de malware utilizan el servicio de transacciones SMS desplegado solamente por los bancos israelíes.
Más acerca de Robar credenciales bancarias
Según Kaspersky, varios bancos y cientos de personas israelíes han sido atacados por el troyano. La única buena noticia es que el método utilizado por los creadores del ATMZombie no permite que se retiren grandes cantidades de dinero. No hay un pago más grande que $750.
Teniendo en cuenta que los ataques de ATMZombie son bastante específicas para el sistema bancario israelí, es fácil asumir que los criminales también son locales. Además, el empleo de las mulas de dinero de cajeros automáticos ilustra que el grupo criminal no opera en el ámbito internacional. grupos de delincuencia cibernética trabajan a nivel internacional no utilizar mulas de dinero.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: