La captura de formularios es una forma de malware que funciona recuperando la autorización y las credenciales de inicio de sesión de un formulario de datos web antes de pasarlo por Internet a un servidor seguro. Esto permite que el malware evite el cifrado HTTPS . Este método es más efectivo que el software keylogger porque adquirirá las credenciales del usuario incluso si se ingresan usando el teclado virtual, autocompletar o copiar y pegar. [1] Luego, puede ordenar la información según sus nombres de variables, como correo electrónico , nombre de cuenta y contraseña . Además, el capturador de formularios registrará la URL y el título del sitio web del que se recopilaron los datos.[2]
Historia
El método fue inventado en 2003 por el desarrollador de una variante de un troyano llamado Downloader.Barbew, que intenta descargar Backdoor.Barbew de Internet y llevarlo al sistema local para su ejecución. Sin embargo, no se popularizó como un tipo bien conocido de ataque de malware hasta la aparición del infame troyano bancario Zeus en 2007. [3] Zeus se usó para robar información bancaria mediante el registro de pulsaciones de teclas del hombre en el navegador y la captura de formularios. Al igual que Zeus, el troyano Barbew se envió inicialmente como spam a un gran número de personas a través de correos electrónicos que se hacían pasar por empresas bancarias de renombre. [4] La captura de formularios como método avanzó primero a través de iteraciones de Zeus que permitieron al módulo no solo detectar los datos de formularios capturados, sino también determinar qué tan útil era la información obtenida. En versiones posteriores, el capturador de formularios también estaba al tanto del sitio web donde se enviaron los datos reales, lo que dejaba la información confidencial más vulnerable que antes. [5]
Incidencias conocidas
Un troyano conocido como Tinba ( Tiny Banker Trojan ) se creó con captura de formularios y es capaz de robar credenciales bancarias en línea y se descubrió por primera vez en 2012. Otro programa llamado Weyland-Yutani BOT fue el primer software diseñado para atacar la plataforma macOS y puede trabajar en Firefox . Las plantillas de inyección web en Weyland-Yutani BOT eran diferentes de las existentes, como Zeus y SpyEye . [6]
Otra versión conocida es la violación de British Airways en septiembre de 2018. En el caso de British Airways, los servidores de las organizaciones parecían haberse comprometido directamente, y los atacantes modificaron uno de los archivos JavaScript (biblioteca Modernizr JavaScript, versión 2.6.2) para incluir un script de registro de PII / tarjeta de crédito que tomaría la información de pago y enviaría la información al servidor controlado por el atacante alojado en el dominio "baways [.] com" con un certificado SSL emitido por la Autoridad de Certificación "Comodo". La aplicación móvil de British Airways también carga una página web construida con los mismos componentes CSS y JavaScript que el sitio web principal, incluido el script malicioso instalado por Magecart. Así, los pagos realizados mediante la aplicación móvil de British Airways también se vieron afectados.
Contramedidas
Debido al reciente aumento en el registro de teclas y la captura de formularios, las compañías antivirus están agregando protección adicional para contrarrestar los esfuerzos de los registradores de teclas y evitar la recopilación de contraseñas. Estos esfuerzos han tomado diferentes formas que varían de compañías antivirus, como safepay, administrador de contraseñas y otras. [1] Para contrarrestar aún más la captura de formularios, los privilegios de los usuarios pueden verse limitados, lo que evitaría que instalen Browser Helper Objects (BHO) y otro software de captura de formularios. Los administradores deben crear una lista de servidores maliciosos para sus firewalls . [2]
También están surgiendo nuevas contramedidas, como el uso de la comunicación fuera de banda , para eludir los capturadores de formularios y el navegador Man-in-the-browser ; los ejemplos incluyen FormL3SS .; [7] aquellos que eluden la amenaza utilizan un canal de comunicación diferente para enviar los datos confidenciales al servidor de confianza. Por lo tanto, no se ingresa información sobre el dispositivo comprometido. Iniciativas alternativas como Fidelius utilizan hardware adicional para proteger la entrada / salida del dispositivo comprometido o que se cree comprometido.
Ver también
Referencias
- ^ a b "Captura de contraseñas y antivirus en línea". Publicación de registro web. Servicios de tecnología de la información empresarial, 24 de julio de 2013.
- ^ a b Graham, James, Richard Howard y Ryan Olson. Conceptos básicos de seguridad cibernética. Publicaciones Auerbach, 2011. Impresión.
- ^ * Shevchenko, Sergei. "Downloader.Berbew". Symantec, 13 de febrero de 2007.
- ^ * Abrams, Lawrence. "Guía de información y preguntas frecuentes de CryptoLocker Ransomware". Ordenadores sangrantes. 20 de diciembre de 2013.
- ^ * "Toma de forma". Publicación de registro web. Instituto de Tecnología de Rochester, 10 de septiembre de 2011.
- ^ Kruse, Peter. "Lanzamiento de Crimekit para MacOSX". Archivado el 31 de enero de 2014 en lapublicación de registro web de Wayback Machine . Servicio Canadiense de Inteligencia de Seguridad, 02 de mayo de 2011.
- ^ Almasi, Sirvan; Knottenbelt, William (febrero de 2020). "Proteger a los usuarios de navegadores comprometidos y capturadores de formularios" . Taller de NDSS sobre medidas, ataques y defensas para la Web . 2020 . doi : 10.14722 / madweb.2020.23016 .