Los ataques de Boy-in-the-Browser (BITB) están cobrando fuerza al seguir evadiendo a los tradicionales antivirus.
Tomer Bitton, del Centro de Defensa de Aplicaciones Imperva, explica, "Muchos están familiarizados con los ataques Man-in-the-browser (MITB), pero la mayoría no son conscientes de los menormente conocidos Boy-in-the-browser (BitB). No es tan sofisticado como MITB, el malware BitB ha evolucionado desde los tradicionales capturadores de teclado (key loggers) y los registros de sesión del navegador. La reciente oleada de troyanos BitB dirigidos a bancos chilenos y sus clientes, demuestra que este tipo de ataque está ganando fuerza y continúa evadiendo el software anti-malware tradicional". A mi punto de vista, como Chileno, creo que los banco deberían implementar un CSIRT para informar a los usuarios de las oleadas de phishing que atacan a sus cliente, de forma de mitigar el impacto del punto de vista imagen y monetario.
Hablando sobre los pasos del ataque, Tomer describe cómo se perfila, "Todo comienza con un simple correo electrónico, el phishing de aspecto inocente que anima al usuario a hacer clic en un enlace para visitar un sitio web para más detalles. Sin embargo, en lugar interrogar al usuario para que comparta sus datos personales - la mayoría de ellos son hábiles para esto, le dicen que es necesario descargar la última versión de Adobe Flash Player (Técnica bastante conocida) para poder ver la página. La mayoría de los usuarios resultan engañados al creer en esto y hacen clic en el enlace. Sin embargo, en lugar de recibir la última versión de Flash, están descargando malware.
"Una vez 'instalado', el troyano flash player se graba en el registro, a continuación, pide al usuario que 'ejecute' el programa, lo que le permite sobrevivir al iniciar el sistema e infectar la máquina. Para evitar la detección, el troyano crea el nuevo archivo de hosts de archivos como 'sólo de lectura'.”. Quizás puedan recordar el spam que traía un adjunto llamado "video.exe" que hacía alusión al sitio http://www.meteochile.cl, de la cual, aún podemos encontrar un popup de aviso, del cual algo tuvimos que ver :-)
Para explicar las consecuencias de haber infectado la máquina con el malware, Tomer continúa: "A partir de este punto, el malware sobrescribe el archivo de usuarios para el mecanismo de asignación de nombres de host (URL) para las direcciones de red (IP) como se visualiza en el siguiente imagen.
Hoy quizás no podemos encontrar nada que haga alusión al ataque de phishing, pero en su momento estaba montada una muy buena copia de los afectados.
La próxima vez que el usuario intente conectarse a una aplicación de banca u otra URL frecuentemente visitada, el troyano en su lugar, redirigirá al usuario a un sitio falso controlado por los criminales, que imita el sitio real. A menudo, es tan hábilmente hecho que el usuario tendrá problemas para distinguir la diferencia. Sin embargo, es aquí donde las credenciales son robadas o el usuario es engañado para completar una transacción falsa”.
Con esto podemos entender lo fácil que puede ser engañar a un usuario y lo vulnerable que puede ser el famoso archivito "hosts".
