Overblog
Edit post Seguir este blog Administration + Create my blog

Páginas

Archivos

Publicado por diemmatotal Siempre Evolucionando para Ud



Los ciberdelincuentes están empleando una nueva variante del troyano bancario Zeus el cual oculta un archivo de configuración del software malicioso en aparentemente inofensivas fotos de atardeceres y de gatos, advierte Trend Micro.

La práctica ha sido también descubierta por investigadores de Malwarebytes a mediados de febrero. El analista Jerónimo Segura entonces ha analizado las fotos del atardecer malicioso y lo comparó con uno no modificado que encontró en Internet.

"Si ponemos los dos cuadros (el original y el alterado) de lado a lado y lo vermos en el modo de mapa de bits, se puede detectar cuando se añadieron los datos adicionales", señaló.


"El malware ha sido capturado de una imagen JPG alojado en el mismo servidor en el cual se encontraban otros componentes del malware", apuntó.



Una vez descifrado, los datos ocultos en la imagen revela el verdadero propósito del archivo, ya que contiene la lista y las direcciones URL de los bancos e instituciones financieras al que deben ser dirigidos.

"Se oculta el código malévolo de tal manera que pueda eludir con éxito los sistemas de detección de intrusos basados en firmas o incluso de otros sistemas de detección del software antivirus. Desde un punto de vista de webmaster, las imágenes (especialmente las que se pueden ver) parecerían inofensivos", señaló Segura. "Es un recordatorio de que un archivo no debe ser considerado seguro, simplemente porque parece ser una imagen legítima, canción o película."


Esta variante de Zeus particularmente, hace lo que este tipo de malware suele hacer comúnmente: permitir a los delincuentes obtener datos bancarios y otras credenciales de cuenta de los usuarios afectados. Pero, además, también descarga otra pieza de malware que elimina la cabecera HTTP X-Frame-Options de los sitios que han sido visitados por los usuarios, permitiendo que los sitios web se muestren dentro de un frame.

"Los Webmasters utilizan esta configuración para asegurarse de que sus sitios no sean utilizados en ataques de clickjacking", señalaron los investigadores de Trend Micro.


#Tecnologia