• +54 (011) 4323-9362
  • |
  • de Lun a Vie de 9 a 17 hs
  • |
  • ciberseguridad@ba-csirt.gob.ar
22 nov
Troyano Terdot roba credenciales de las redes sociales

En el día de ayer volvió a aparecer el troyano Terdot, variante del virus Zeus (cuyo código fuente fue publicado en 2011, copiando el mecanismo para inyectar en los procesos del navegador), pero ya no sólo como malware que roba las credenciales bancarias, sino que lo hace en las cuentas de correo electrónico y redes sociales.

¿Qué es un Troyano?
Es un software malicioso que se presenta al usuario como un programa aparentemente legítimo e inofensivo, pero que, al ejecutarlo, puede eliminar archivos o destruir la información del disco rígido.
Los troyanos son capaces de capturar y reenviar datos confidenciales a una dirección externa o abrir puertos de comunicaciones, permitiendo que un posible intruso controle nuestra computadora de forma remota. También, pueden capturar todos los textos introducidos mediante el teclado o registrar las contraseñas introducidas por el usuario. Por eso, son populares por robar datos bancarios.
¿Cómo funciona?
Terdot no es nuevo, apareció a mediados de 2016 y se difunde a través de correos con un archivo adjunto de tipo “PDF”. Es decir, si un usuario hace click en el falso archivo PDF, inmediatamente se inicia el proceso de descarga del troyano.
Este tipo de troyano utiliza dos formas de ataque: phishing y man-in-the-middle. Es decir que es capaz de inyectar páginas web visitadas con código HTML para realizar ataques de hombre en el medio (MITM) y robar datos bancarios, incluida la información de la tarjeta de crédito.

Asimismo, busca las credenciales de acceso a todo tipo de sitios web de redes sociales como Live.com, Yahoo Mail, Gmail, Facebook, Twitter, Google+ y YouTube. Para robar la información de las redes sociales, el troyano modifica la configuración del navegador e inyecta un código específico. El malware redirige todo el tráfico y conexiones a su servidor proxy para controlar la actividad online del usuario permaneciendo “en el medio”. Esta actividad, le permite al troyano modificar los datos provistos en las páginas webs a los que los usuarios accedieron y rastrear información sensible y privada.

También, puede modificar algunos archivos del sistema operativo, dañar otros e inyectar, en los navegadores, enlaces poco fiables como anuncios, ventanas emergentes e incluso actualizaciones de software.
Es importante aclarar que este troyano tiene capacidades para modificarse de forma automática y auto-actualizarse. Esto significa que el troyano puede actualizarse con nuevas capacidades que pueden engañar a los programas de antivirus evadiendo la detección. Por el momento, los navegadores más afectados han sido Mozilla Firefox e Internet Explorer y las campañas de correo con phishing se han centrado en organizaciones bancarias y financieras canadienses como PCFinancial, BMO, Desjardins, Royal Bank, Banque Nationale, Scotiabank, the Toronto Dominion Bank, CIBC y Tangerine Bank.

Nuestras Recomendaciones
• Permanecer atentos, no abrir correos electrónicos, aunque parezcan haber sido enviados por tu entidad bancaria.
• Comprobar siempre la información sobre el remitente. No acceder a los enlaces o abrir archivos de remitentes sospechosos.
• Realizar, de forma periódica, copias de seguridad de la información privada y sensible de los dispositivos.
• No reenviar cadenas de mensajes, especialmente aquellas que contengan enlaces a sitios web o descarga de aplicaciones que desconocemos.
• Descargar programas legítimos.
• Contar con un buen antivirus y antimalware.
• Informar a la entidad bancaria, en caso de sufrir un ataque de Terdot para que bloquee las actividades sospechosas en la cuenta.
• Cambiar los datos de autenticación (contraseñas) de las cuentas.

Referencia:

www.bleepingcomputer.com/news/security/terdot-banking-trojan-grows-into-a-sophisticated-threat/

Tu opinión nos ayuda a seguir creciendo.

Seleccioná la cantidad de estrellas que consideres apropiada.

BA-CSIRT, ¿cómo reportar un indicente de ciberseguridad?