Como si el reciente robo de las credenciales de Salesforce.com no fuera suficiente, el troyano Dyre está en otra ola de atacar instituciones financieras y grandes empresas al robar el certificado de cliente y las cookies del navegador. En riesgo: los usuarios legítimos podrían perder su identidad única ante los atacantes que podrían usar esos datos para iniciar sesión en cuentas en línea como si fueran propietarios legítimos de esas cuentas.
Adallom, una empresa de seguridad de software, ha descubierto esta cepa del troyano bancario Dyre, que también fue responsable de una piratería reciente de las credenciales de Salesforce. Después de un análisis exhaustivo de las actividades de Dyre, los investigadores de seguridad de Adallom concluyeron que el troyano apunta a la configuración de las formas de inicio de sesión de los grandes bancos y corporaciones.
Hace un par de días, Salesforce.com advirtió a sus clientes de una muy probable violación de datos de sus cuentas. El método utilizado para propagar el troyano es muy familiar, pero a muchos les puede resultar difícil distinguir: correos electrónicos no deseados y de phishing que contienen enlaces, que sin duda infectan una computadora una vez que se hace clic en ellos. Otro método a través del cual los piratas informáticos perpetran su crimen es cargando un módulo genérico para copiar datos POST desde un navegador y transmitir esos datos a su servidor de comando y control. Aunque los piratas informáticos no inyectan código mediante este método, pueden enviar al atacante grandes volúmenes de datos de texto que incluyen credenciales.
Un atacante también dirige el tráfico a su servidor a través de un ataque man-in-the-middle para URL que están específicamente en su lista de objetivos, y una función de instantánea del navegador permite el robo de cookies y certificados de cliente y claves privadas de certificados de Windows para las bases de datos de Microsoft y Firefox. Un navegador de destino, por ejemplo, se maniobra para que el atacante luego inyecte código en una determinada sesión. Lo que es más peligroso es que este tipo de ataque evita la detección mediante el protocolo SSL. Entonces no sabrías qué hacer.
Sin embargo, es un poco extraño que los piratas informáticos utilicen dicha funcionalidad de malware, ya que los bancos rara vez utilizan los certificados de cliente. En cuanto a por qué los atacantes atacaron recientemente a Salesforce.com, apunta al hecho de que el sitio web estaba destinado a ser un vector de ataque. Sin embargo, es difícil saber qué querían exponer los piratas informáticos al mercado negro atacando a Salesforce.com.
Por supuesto, datos como el correo electrónico o cualquier otro servicio del sitio web no les interesan en particular. De hecho, los piratas informáticos no descubrieron detalles de inicio de sesión en una lista de objetivos que puedan atacar inyectando ciertas configuraciones. Entre esos objetivos se incluyen los grandes bancos del Reino Unido. Por otro lado, el código de orientación de Salesforce se encontró en un servidor proxy que los atacantes utilizan para atacar sitios web de acuerdo con criterios desconocidos.
