Al parecer, el nuevo malware Dyer está omitiendo SSL para deslizar las credenciales bancarias. Leí que usa "enganches de proceso" para conectar los navegadores y ver los datos ANTES que están encriptados y enviados al servidor del banco (usando las claves del protocolo de enlace SSL inicial). ¿Alguien puede explicar cómo se logra esto? y ¿está esto en el mismo nivel de amenaza de un keylogger que captura sus pulsaciones o es más encubierto y peligroso?
Cuando una aplicación "usa SSL", en realidad carga una DLL del sistema que implementa el protocolo. Cada proceso mantiene, en una zona específica de su espacio de direcciones, la lista de DLL que ya ha cargado y dónde (esto está bajo la administración del enlazador dinámico); un malware que puede ejecutarse en su sistema con suficientes privilegios locales simplemente se introducirá en estas estructuras de memoria, de modo que cuando la aplicación quiera cargar la implementación de SSL, se redirija a una DLL controlada por malware. El malware reenviará fielmente todas las llamadas a la verdadera DLL de implementación de SSL, pero también conservará una copia de los datos.
Todas estas manipulaciones están en la memoria RAM y, por lo tanto, no dejan rastro permanente. Por supuesto, el malware aún tiene que "estar allí" y quiere resistir los reinicios, por lo que normalmente dejará un enlace en algún lugar, modificando una DLL del sistema o un archivo ejecutable para que se vuelva a invocar cuando la máquina se reinicie.
(Nadie sabe por qué cualquier vulnerabilidad específica o malware se convierte repentinamente en la noticia más importante en una década y provoca un pánico mundial, mientras que docenas de virus similares o incluso más peligrosos simplemente vuelan sin nada más que un "meh" colectivo de un pocos especialistas. El caso "de corazón" es un buen ejemplo de un virus que se vuelve viral sin ninguna razón perceptible.)