martes, 12 de mayo de 2015

Distribuyen un troyano bancario utilizando una base de datos SQL


Las formas de distribuir malware entre los usuarios evolucionan y los ciberdelincuentescada vez utilizan métodos más complejos. Una prueba de ello es la última amenaza detectada, distribuyéndose haciendo uso de una base de datos de Microsoft SQL. Hasta el momento el principal foco de infección ha sido Brasil aunque esto cambiará rápidamente.

Lo que queremos decir es que los hackers ya han adoptado esta vía de distribución malwarey ha comenzado a aplicarse en otros países del mundo, afectando en la actualidad además del país sudamericano a Estados Unidos y algunos países europeos.

Todavía no se posee mucha información pero teniendo en cuenta que muchas veces este tipo de amenazas quedan asociadas a un dominio que es desde donde se realiza la descarga, parece evidente que lo que quieren conseguir es que al administrador de los equipos le sea imposible identificar la fuente de descarga del archivo.

De esta forma, la base de datos desempeña un papel fundamental ya que gracias a esta se puede conseguir el archivo final que contiene en este caso el troyano bancario que se está distribuyendo.

Los ciberdelincuentes se están sirviendo de servidores comprometidos para crear las tablas necesarias para realizar la descarga del archivo correspondiente una vez que el equipo se ha descargado el ejecutable programado en Visual Basic.


Además de la base de datos SQL, los ciberdelincuentes se valen de los correos electrónicos

La primera de las piezas se distribuye con la ayuda de un correo electrónico que indica un problema con la cuenta existente en una entidad bancaria. Al usuario se le insta a consultar un documento que está almacenado en un sistema de almacenamiento en la nube, utilizando Dropbox y Google Drive en esta ocasión. Una vez que el usuario ha descargado y ejecutado el archivo este se pone en contacto con una de las bases de datos y mediante un consulta con la tabla adecuada procede a la descarga del troyano bancario.

Este se encargará de robar las credenciales de acceso introducidas en los navegadores y desactivar aquellos complementos que se encarguen de añadir protección adicional, como por ejemplo, G-Buster.








Fuente: Redeszone.net

No hay comentarios:

Publicar un comentario