BLOG

Malware financiero y sus trucos: Ataques de "Hombre en el navegador"

Miniatura del patrocinador de Shahnawaz
Patrocinador de Shahnawaz
Publicado el 23 de mayo de 2016

Malwares y su impacto

Los malwares han provocado pérdidas de miles de millones de dólares al sector financiero y no hay vuelta atrás. En este punto, uno podría pensar que el campo es tan lucrativo que los creadores de malware crearían nuevos ataques, pero por el contrario, descubrimos que los malwares han estado reutilizando códigos y reencarnándose en diferentes formas.  La mayoría de los programas maliciosos utilizan exploits como Man in The Browser (MiTB), Man in The Middle [MITM], etc. para sus nefastos propósitos.

 Este artículo habla sobre Man in the Browser y las mitigaciones basadas en la solución de protección contra el fraude (FPS) de F5. Existe toda una escuela de malware conocido por aprovechar este vector de ataque.  Bugat, Gozi, Tatanga, SpyEye, Zeus son algunos de los malwares conocidos que utilizan la técnica MiTB.

¿Qué es Man in the Browser?

Un caballo de Troya que infecta el navegador y modifica las páginas y transacciones de forma encubierta antes de ser mostradas al usuario o enviadas al servidor se puede resumir como MiTB.

La mayoría de los navegadores ofrecen funcionalidades para ampliar las capacidades; estas se presentan como objetos auxiliares del navegador para Windows, extensiones para Google Chrome y complementos para Firefox, etc. Si bien estas extensiones habilitan y proporcionan en gran medida una navegación personalizada, también son utilizadas como herramienta por el malware. Imagínese la próxima vez que inicie sesión en su banco favorito y le muestre un mensaje como este, diría que MiTB está activo.

 

 

Desafortunadamente, los atacantes son sofisticados y sutiles y todo ocurre tras un encubrimiento. Utilizan la capacidad del navegador para mejorar la experiencia de navegación del usuario y le dan un uso más maligno. La captura de pantalla a continuación muestra un malware que realiza una solicitud encubierta a una zona de colocación con credenciales capturadas.

 

La solución de protección contra el fraude de F5 es la respuesta

Los estafadores utilizan el navegador para robar información y los servidores ignoran por completo que estas transacciones se originan en el extremo del cliente.  La necesidad del momento es monitorear estas transacciones que se originan en el navegador del cliente sin obstaculizar ni alterar sus hábitos de navegación.  El FPS de F5 ayuda a monitorear estas actividades sospechosas.

Algunas de las capacidades únicas de F5 para derrotar los ataques MiTB incluyen:

 

  • Ofuscación de campos de formulario HTML: Los nombres de campos sensibles, como nombre de usuario y contraseña, se reemplazan por cadenas aleatorias que anulan los scripts automatizados que buscan elementos específicos del Modelo de objetos de documento (DOM).

    •  

     

  • Cifrado en tiempo real de campos sensibles: Los campos críticos identificados se cifran a medida que el usuario escribe.

    •  

     

  • Golpes falsos para derrotar a los registradores de teclas basados en navegador:  Las pulsaciones de teclas generadas ocultan las entradas reales del usuario, anulando así los registradores de teclas basados en el navegador.

    •  

     

  • Alertas sobre inyección de scripts externos por malware: FPS alerta a los bancos si un AJAX realizó una publicación en un dominio diferente.

    •  

    CONCLUSIÓN

    Los ataques Man In the Browser son capaces de vencer el cifrado del canal y robar información confidencial del navegador. La solución FPS de F5 ayuda a cubrir la brecha de seguridad y brinda a la organización visibilidad y protección en el navegador de los usuarios.

    Recursos