Se observó a un grupo de ciberdelincuencia de habla rusa que combinaba un poderoso malware de robo de información con dominios typosquatted para robar (se abre en una pestaña nueva) datos de inicio de sesión para sitios bancarios. La campaña fue detectada por los expertos en seguridad cibernética Hold Security y KrebsOnSecurity informó sobre ella.
Según el informe, el grupo conocido como The Disneyland Team tiene como objetivo a las personas infectadas con un poderoso malware bancario llamado Gozi 2.0 (también conocido como Ursnif), que puede robar datos informáticos, recopilar credenciales de usuarios e información financiera e implementar malware adicional.
Pero Gozi por sí solo ya no es suficiente, ya que los fabricantes de navegadores han introducido varias medidas de seguridad a lo largo de los años para anularlo. Pero aquí es donde entra en juego el typequatting: la creación de sitios web de phishing con nombres de dominio que son errores ortográficos comunes en sitios legítimos.
Ayudando a Gozi
Según KrebsOnSecurity: «En años pasados, delincuentes como estos usaban «inyecciones web» personalizadas para manipular lo que las víctimas de Gozi ven en su navegador web cuando visitan el sitio de su banco».
Estos podrían luego «copiar y/o interceptar cualquier dato que los usuarios ingresen en un formulario basado en la web, como un nombre de usuario y una contraseña. Sin embargo, la mayoría de los fabricantes de navegadores web han pasado años agregando protecciones de seguridad para bloquear actividades tan nefastas».
Entonces, para hacer uso de Gozi, los atacantes también agregaron sitios de bancos falsos en dominios con errores tipográficos. Ejemplos de tales dominios incluyen ushank[.]com (dirigido a personas que escriben mal usbank.com), o ạmeriprisẹ[.]com (dirigido a las personas que visitan ameriprise.com).
Notarás pequeños puntos debajo de las letras a y e, y si pensabas que eran motas de polvo en tu pantalla, no serías el primero en caer en la trampa. Sin embargo, estas no son especificaciones, sino letras cirílicas que el navegador representa como latinas.
Entonces, cuando la víctima visita estos sitios web de bancos falsos, se superponen con el malware, que reenvía todo lo que la víctima escribe al sitio web del banco real, mientras se queda con una copia.
De esa manera, cuando el sitio web del banco real regrese con una solicitud de autenticación multifactor (MFA), el sitio web falso también lo solicitará, lo que hará que la MFA sea inútil.
Vía: KrebsOnSecurity (se abre en una pestaña nueva)