Windows 10 es el nuevo sistema operativo de Microsoft que incorpora, además de nuevas medidas de seguridad, nuevo software por defecto, como es el caso de Microsoft Edge, sucesor de Internet Explorer. Para que el malware siga funcionando en este nuevo sistema operativo y sea capaz de tomar el control de las aplicaciones, los piratas informáticos deben actualizarlo y adaptarlo de forma periódica tanto para funcionar en el nuevo kernel como para ser capaz de evadir las nuevas medidas de seguridad, aprovechar vulnerabilidades conocidas e integrarse en el sistema operativo y en las aplicaciones de este.
Microsoft Edge es el nuevo navegador web por defecto de Microsoft. Muchos usuarios, al igual que ocurre con Internet Explorer, utilizan el navegador por defecto para conectarse a Internet, lo que obliga a los piratas informáticos a desarrollar sus herramientas maliciosas de manera que se integren lo mejor posible en todas las aplicaciones, pero especialmente en el software predeterminado del sistema.
Una de las técnicas más utilizadas tanto para infectar a los usuarios como para poder tomar el control del navegador es mediante inyección de código en sus correspondientes procesos. Cada navegador tiene su propio hilo de proceso, por lo que, según el navegador que utilice el usuario, el malware debe optar por una u otra técnica para poder tomar el control de este. Además, aprovechando la técnica “webinyector“, los piratas informáticos pueden infectar a las víctimas directamente desde el navegador, siendo esto mucho más sencillo y práctico que a través de un ejecutable.
Hasta ahora, varios troyanos bancarios han sido actualizados para ser totalmente funcionales en Windows 10, entre otros, Tinba v3 (aunque no es compatible aún con las webinjections), Ramnit y Dyre, siendo este el último capaz de integrarse completamente en Microsoft Edge con posibilidad de inyectar código en el proceso del navegador, hasta que los responsables del troyano fueron detenidos.
Gozi, un troyano bancario más que se hace compatible con Microsoft Edge y Windows 10
Uno de los últimos troyanos en sumarse a la lista anterior es Gozi, un troyano bancario que recientemente ha recibido una actualización con la que añade una nueva forma de tomar el control de Microsoft Edge y mejora la integración con el nuevo sistema operativo de la compañía. Mientras que la mayoría de los navegadores web modernos como Google Chrome permiten la inyección de código directamente en su propio proceso (Chrome.exe, en este caso), los troyanos antiguos no cuentan con las técnicas necesarias para ejecutarse dentro de Microsoft Edge, por lo que hacer uso de este navegador evita que este tipo de software malicioso controle la actividad de los usuarios.
Hasta ahora, cuando el navegador era desconocido y utilizaba un proceso diferente, el troyano intentaba hacer uso de una vulnerabilidad en el proceso RuntimeBroker.exe, sin embargo, esta vulnerabilidad ha sido solucionada, lo que ha hecho que los responsables de este malware busquen nuevas formas de tomar el control del sistema, especialmente cuando se ejecute este nuevo navegador. Por ello, con esta nueva actualización, Gozi ahora sí es capaz de inyectar código en MicrosoftEdgeCP.exe, proceso de Microsoft Edge, consiguiendo así robar los datos bancarios de sus víctimas, incluso si se conectan a través de Edge.
Los expertos de seguridad aseguran que están investigando la nueva forma de inyectar código de esta nueva versión de Gozi con el fin de poder proteger a los usuarios lo mejor posible tanto de esta como de otras amenazas similares. Este troyano lleva en circulación desde 2007 y, casi 10 años más tarde, sigue siendo uno de los más peligrosos y que mayor número de cuentas bancarias facilita a los piratas informáticos. El código fuente original de Gozi se filtró en 2010, lo que dio lugar a que sus módulos aparecieran en otros troyanos bancarios similares.
Cada vez el número de troyanos que se integrarán perfectamente con el nuevo sistema operativo y el nuevo navegador web será mayor, por lo que debemos tener cuidado de no caer en alguna de las diferentes técnicas de ingeniería social llevadas a cabo por los diferentes grupos de piratas informáticos que puedan dar lugar a este tipo de ataques. Un antivirus actualizado con una capa anti-exploits (o una herramienta como Malwarebytes Anti-Exploits) nos ayudarán a reducir la probabilidad de caer víctimas de los piratas informáticos mediante estas técnicas.
Fuente:https://www.redeszone.net/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
