Archivo

domingo, 10 de noviembre de 2013

Malware de Sistemas Bancarios


Si hablamos de sistemas de planificación de recursos empresariales (ERP) tarde o temprano caeremos en sistemas SAP, alguna vez me pregunte por los  sistemas que se utilizan en empresas grandes y tomando como referencia la revista Forbes veremos que en la lista de las 500 compañías mas ricas del mundo, el 80% utiliza SAP.

Teniendo como en cuanta lo dicho anteriormente, tal vez no debería sorprendernos la aparición de una nueva variante de troyano de sistema bancario que escanea en busca de clientes SAP, este malware es una evolución de la familia Trjan.Ibank y no es tan popular como ZeuS o SpyEye.
Investigadores de Dr. Web antivirus fueron quienes descubrieron este extraño comportamiento en un malware. La hipotesis que se baraja según el jefe de tecnología de ERPScan, Alexander Polyakov es que, los cyberdelincuentes podrían explotar alguna vulnerabilidad desconocida (0 day) en estos sistemas.

Si un cliente SAP fuese vulnerado y dependiendo de las credenciales que sean robadas, un atacante podría sustraer información financiera, secretos coorporativos, información de clientes y siendo aun mas apocalíptico, si un servidor SAP fuese comprometido los atacantes podrían robar dinero, aprobar pagos, cambiar cuentas de clientes y/o redirigir pagos a cuentas que se encuentras en su poder.

Un ataque a este sistema seria muy sensible, incluso si llegaran a liberar una actualización, y digo estos tomando como parámetro la vulnerabilidad critica descubierta en la aplicación SAProuter, que permite la ejecución remota de código arbitrario y si bien, el parche existe hace ya seis meses, solo fueron actualizados muy pocos de ellos. Al día de hoy se pueden acceder a mas de 4.000 SAProuter a través de internet (4250 para ser exactos =).

Para mas información:

http://www.computerworld.com/s/article/9243727/New_malware_variant_suggests_cybercriminals_targeting_SAP_users
https://github.com/rapid7/metasploit-framework/blob/master/modules/auxiliary/scanner/sap/sap_router_info_request.rb

Publicar un comentario