Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

KrBanker

¿Qué es?

KrBanker, también conocido como BlackMoon, es un malware de tipo troyano bancario que se enfoca en infectar dispositivos Windows para robar credenciales de acceso a servicios de banca en línea y cualquier información financiera de los usuarios. Además, proporciona una puerta trasera a los atacantes que permite incluir el dispositivo como parte de una botnet y realizar otras actividades maliciosas de manera distribuida.

¿Qué hace?

Este malware tiene capacidad para realizar las siguientes acciones en los dispositivos infectados:

  • Roba los datos de inicio de sesión mediante técnicas de "man-in-the-browser" y redirección a sitios falsos que imitan páginas bancarias legítimas.
  • Modifica archivos del sistema (pharming) y utiliza configuraciones proxy para redirigir a los usuarios a sitios fraudulentos sin que los usuarios lo perciban.
  • Emplea técnicas como la inyección de procesos y la modificación del registro para generar persistencia y mantenerse activo en el sistema incluso después de reinicios.
  • Desactiva herramientas de seguridad (antivirus, cortafuegos...) y bloquea el acceso a sitios web de seguridad (fabricantes de antivirus, actualizaciones del sistema o soporte técnico, entre otros) para evitar su detección y eliminación.
  • Roba certificados digitales almacenados en el sistema y tokens de firma electrónica utilizados por los usuarios para usarlos en la autenticación de transacciones financieras.
  • Intercepta y captura conexiones cifradas con entidades bancarias para visualizar y robar información sensible, aunque esté cifrada.
  • Superpone ventanas falsas (overlay attacks) en el navegador legítimo para imitar páginas bancarias y engañar a los usuarios para robarles información.
  • Detecta y elimina otros troyanos bancarios en el sistema para evitar conflictos o detección múltiple.
  • Verifica si el sistema pertenece a una región geográfica específica (Geofencing) antes de desplegar su carga útil para reducir su exposición y dificultar su análisis.

Sistemas afectados

Los principales dispositivos afectados son:

  • Dispositivos con sistemas Microsoft Windows.

¿Cómo me infecta?

Este malware infecta a los dispositivos a través de campañas de phishing por correo electrónico con archivos adjuntos maliciosos, a través de anuncios en sitios web comprometidos (malvertising) que redirigen a los usuarios a páginas que explotan vulnerabilidades para instalarse y a través de herramientas de explotación (exploit kits) que aprovechan las vulnerabilidades de los sistemas y sus aplicaciones.

Cómo desinfectar mi equipo

Las principales firmas de antivirus contienen reglas para detectar y eliminar este malware: accede a los cleaners.

Más información

Compartir en Redes Sociales