|
Título: Como funciona el formgrabber de un malware? Publicado por: usuario oculto en 14 Agosto 2011, 18:59 pm Como funciona exactamente? ¿detecta la web en la que está y captura las teclas?
Título: Re: Como funciona el formgrabber de un malware? Publicado por: Karcrack en 14 Agosto 2011, 19:18 pm No he analizado ningún formgrabber en particular... supongo que los chapuzas capturan las teclas... pero según tengo entendido los buenos instalan una extensión en el navegador (normalmente en el IExplore) y desde ahí pueden trabajar perfectamente...
Otras formas más elaboradas sería capturando el tráfico de la red (siempre que el formulario no fuese por https) o bien secuestrar la página modificando el fichero hosts para que rellenen un formulario propio que sea idéntico al real y luego redirigir al original para que el usuario no se percate... Seguro que hay más formas, estas son las que se me ocurren ahora... el limite es la imaginación :P Título: Re: Como funciona el formgrabber de un malware? Publicado por: Novlucker en 14 Agosto 2011, 19:53 pm Lo más común es hookear HttpSendRequestA como lo hacen Zeus y SpyEye :P
http://mipistus.blogspot.com/2009/07/especial-zeus-botnet-for-dummies.html http://secniche.blogspot.com/2011/06/google-chrome-form-grabber-hooking-at.html http://www.infosectoday.com/Articles/Form_Grabbing/Form_Grabbing.htm Saludos Título: Re: Como funciona el formgrabber de un malware? Publicado por: [Zero] en 14 Agosto 2011, 21:42 pm Si, hookear es lo ideal. Incluso (YST lo hizo) hookeando algunas funciones no propias de windows (como HttpSendRequestA), sinó internas del navegador, se pueden obtener los datos incluso cuando se usa SSL. Y bueno, es cuestión de imaginación, hookando algunas API's que se encarguen de la gestión de memoria seguro que puedes capturar algo también. Lo malo de esto es que tienes que buscar la función adecuada para cada navegador, no es algo genérico.
Saludos |