Estas aquiContenido / Alertan de un troyano que captura claves bancarias
Alertan de un troyano que captura claves bancarias
Por Andy
BitDefender ha lanzado una alerta según la cual un nuevo troyano, al que han llamado ChromeInject-B (también ChromeInject-A en la nota de prensa), está infectando máquinas Windows que utilizan Firefox. Dicho troyano instala ficheros ejecutables en las carpetas del sistema de Firefox:
%ProgramFiles%\Mozilla Firefox\plugins\npbasic.dll
%ProgramFiles%\Mozilla Firefox\chrome\chrome\content\browser.js
Una vez instalado, el código se activa cada vez que se utiliza Firefox y monitoriza el acceso a varios URLs preprogramados, entre los cuales hay una alarmante cantidad de sitios de banca online españoles (ver la lista en el enlace incluido al final de esta nota). Una vez que detecta el acceso, el plugin captura los datos de usuario y clave y los envía a un servidor remoto que -según nota de prensa de BitDefender- está situado en Rusia...
No se menciona el método de infección.
BitDefender informa que la incidencia del troyano por ahora es muy baja, mientras que el daño potencial en caso de infección es muy alto.
Fuente: BitDefender
Aunque en los enlaces no se dice nada, y los archivos víricos son de windows, el hecho de que haya un ejecutable de javascript ¿podría suponer un riesgo para los que funcionan en linux?
Uno de los archivos es un .dll (Dinamic Link Library), una biblioteca de enlace dinámico propia de Windows que en GNU/Linux/xBSD no funcionaría. Por lo que en principio sí afectaría unicamente a Windows.
Solo es una opinión, no soy un gurú ni nada parecido solo un usuario de Gnu/Linux.
podría ser que afectara el javascript, pero el problema es que no se puede activar el virus (que es para win) que es el que descarga el ejecutable, por lo cual, aunque te toque el virus no se activa y no se descarga nada...
Según veo, el malware consta de un .dll (archivo típico en Windows) y un .js (archivo de JavaScript) que podría ser ejecutado en cualquier equipo. No estoy seguro si el .dll sea sólo para darle compatibilidad con Windows, o pueda ser ejecutado como un aplicación nativa de cualquier sistema operativo al funcionar como extensión de FF. Sin embargo, existen ciertas extensiones de FF que son nativas de Windows como aquellas que usan las APIs de algún componente de Windows y por lo tanto sólo funcionan en este sistema operativo.
El troyano esta en:
%ProgramFiles%\Mozilla Firefox\chrome\chrome\content\browser.js
Pero existe un browser.js en:
%ProgramFiles%\Mozilla Firefox\chrome\browser.js
que es plugin autentico
un saludo
¿O es que alguien se cree que los que tenemos el pingüino y similares nos íbamos a librar?
Si entre 6.000 millones de seres humanos hay alguien con mala baba, veremos un virus que afecte a lynx bajo OpenBSD. Tiempo al tiempo.
Pues como ves, hasta ahora nos vamos salvando. Y si en algún momento la cosa se pusiera fea no necesitaríamos recurrir a darle la mitad de nuestra CPU a un antivirus. Bastaría con sencillas medidas de seguridad para detener ataques como este.
Para empezar, que el virus tiene que llegar de alguna manera, y en linux no es fácil meterlo. Por otro lado, una vez metido, si simplemente montáramos el home de los usuarios con noexec sería suficiente, y mira que te estoy hablando de una medida casi trivial si existiera peligro de virus.
Los usuarios de Linux tenemos ganada la batalla contra los virus incluso antes de que comience. Imaginate si el peligro fuera real, no nos quedaríamos de brazos cruzados y desarrollaríamos medidas incluso más efectivas. Por eso es que ni se molestan en atacarnos. No vale la pena meterse en una carrera que no se puede ganar habiendo un 95% de los usuarios del mundo tontamente expuestos a cualquier ataque que se les quiera enviar.
No tengo ni idea de como funciona el noexec del mount, pero intuyo que no puede impedir que firefox ejecute un javascript, como por ejemplo una extensión, ¿Es así? (me imagino que solo puede impedir que se ejecuten binarios o como mucho scripts ejecutables con el #!/usr/bin/lo-que-sea).
Yo no cantaría victoria y creo que lo que de momento está salvando a linux de los virus es que hacerlos para windows es mucho mas rentable (aparte de ser mas fácil). Algo bueno tiene que tener que la mayoría use windows ¿no?
Sí, se puede impedir que se ejecuten. Tienes un plug-in que precisamente se ocupa de eso: NoScript de Giorgio Maone (http://noscript.net).
No obstante, al final la seguridad que ofrece NoScript supone un engorro en la navegación porque la mayoría de los sitios tienen flash o utilizan javascript para cualquier cosa y NoScript se basa en la autorización expresa sitio por sitio. Mi opinión es que la mayoría de los usuarios no están capacitados para saber cuándo una página o su contenido puede ser peligroso, por lo que la instalación de este tipo de soluciones acaba convirtiéndose en un constante autorizar a ciegas (algo que también pasa con la mayoría de los firewalls para PC).
Además uso el noscript, pero no creo que tenga mucho que ver con lo que hablábamos de montar una partición como noexec, pues igual como he puesto de ejemplo al firefox podía haber puesto a cualquier otro intérprete. Además, si quisiéramos estar seguros del todo, tendríamos que configurar el firefox para que no ejecutara ningún javascript y además no instalar ninguna extensión, y eso no sería muy práctico.
Lo que vengo a decir es que no creo que estemos 100% a salvo por usar linux, ni mucho menos. Y aunque es evidente que estamos mucho mas seguros que los que usan windows, creo que esto se debe principalmente a que windows lo usa mucha mas gente.