¿Puede el malware cambiar el sitio web visitado por el navegador?

Hay varias maneras de lograr esto:

• El software malicioso que funciona como un proxy o directamente conectado al navegador (como con las extensiones del navegador) puede cambiar el contenido del sitio, es decir, uno visitará el sitio original pero el contenido se cambiará en tránsito o se cambiará dentro El navegador con inyección de script o similar. Este tipo de malware se utiliza a menudo para inyectar anuncios.
• Al cambiar la configuración de DNS, devolverá las direcciones IP controladas por el atacante para un nombre de host en lugar de las direcciones IP reales. De esta manera, todo el tráfico a estos hosts va al atacante, que luego puede proporcionar contenido diferente. La configuración de DNS se puede cambiar en la computadora misma o incluso en el enrutador. En el último caso, todos los sistemas en la red local se efectúan. Consulte enlace para ver un ejemplo detallado.
• Los middleboxes comprometidos (enrutadores, firewalls, proxies) también se pueden usar para cambiar o redirigir el tráfico.

También he encontrado rootkits que interceptarán las solicitudes de DNS y devolverán los resultados correctos para utilidades como nslookup, pero una IP diferente a los navegadores.

Otra posibilidad más es que el malware modifique su archivo / etc / hosts (o el archivo C: \ Windows \ System32 \ Drivers \ Etc \ Hosts). No he visto mucho últimamente, probablemente porque es demasiado fácil de detectar y prevenir.

Por supuesto, es perfectamente común y es una parte estándar del conjunto de características de todo el malware comercial moderno de hoy en día, y se ha generalizado desde las primeras versiones de ZeuS. La página visitada a través de la URL legítima normalmente se modifica al vuelo parcial o completamente.

Normalmente se logra al inyectar en el proceso del navegador y enlazar las llamadas al sistema WinAPI, que contienen datos de solicitud y respuesta HTTP sin procesar. Este artículo contiene la lista completa de llamadas de API enganchadas para ZBot, si estás interesado.

Por supuesto, inyectar en el proceso significa que el malware a menudo debe apuntar a versiones específicas del navegador. Los autores de malware suelen enumerar los navegadores y sus versiones que pueden inyectar sus productos y, a menudo, actualizan su malware justo después de la actualización de los navegadores de destino (si desean permanecer en la cima del mercado).

ZeuS, sus diversas modificaciones, SpyEye y la mayoría de los otros bots con la capacidad de "inyección de navegador" tienen una característica muy interesante: un pequeño "lenguaje de análisis y reemplazo" incorporado para sus archivos de configuración que permite a los usuarios de malware fácilmente configure los cambios en las respuestas HTTP para páginas específicas.

Este lenguaje es un elemento básico de reemplazo de texto: se puede especificar la URL o la máscara de URL para modificar las respuestas, y luego proporcionar una lista de bloques de reemplazo, cada uno especificando algunos datos para insertar (el "cuerpo"); los datos en la respuesta original después de donde se debe insertar el "cuerpo" y / o los datos en la respuesta original antes de donde se debe insertar el "cuerpo".

Las configuraciones escritas en este "lenguaje", denominadas "inyectables" o "webinjects", son un mercado real de su propiedad. Los "webinjects" bien escritos dirigidos a bancos o sistemas de pago en línea, con sus propios paneles web de administración bien escritos, se pueden vender por varios cientos de dólares.

Esto se usa principalmente, como lo ha indicado correctamente, para el phishing. Sin embargo, es diferente de phishing regular en ser mucho más difícil de identificar. También se usa a menudo para publicidad y publicidad.