Como funciona el formgrabber de un malware?

usuario oculto · 14 Agosto 2011, 18:59 PM

Como funciona exactamente? ¿detecta la web en la que está y captura las teclas?

Karcrack · 14 Agosto 2011, 19:18 PM

No he analizado ningún formgrabber en particular... supongo que los chapuzas capturan las teclas... pero según tengo entendido los buenos instalan una extensión en el navegador (normalmente en el IExplore) y desde ahí pueden trabajar perfectamente...

Otras formas más elaboradas sería capturando el tráfico de la red (siempre que el formulario no fuese por https) o bien secuestrar la página modificando el fichero hosts para que rellenen un formulario propio que sea idéntico al real y luego redirigir al original para que el usuario no se percate...

Seguro que hay más formas, estas son las que se me ocurren ahora... el limite es la imaginación

Novlucker · 14 Agosto 2011, 19:53 PM

Lo más común es hookear HttpSendRequestA como lo hacen Zeus y SpyEye

http://mipistus.blogspot.com/2009/07/especial-zeus-botnet-for-dummies.html
http://secniche.blogspot.com/2011/06/google-chrome-form-grabber-hooking-at.html
http://www.infosectoday.com/Articles/Form_Grabbing/Form_Grabbing.htm

Saludos

[Zero] · 14 Agosto 2011, 21:42 PM

Si, hookear es lo ideal. Incluso (YST lo hizo) hookeando algunas funciones no propias de windows (como HttpSendRequestA), sinó internas del navegador, se pueden obtener los datos incluso cuando se usa SSL. Y bueno, es cuestión de imaginación, hookando algunas API's que se encarguen de la gestión de memoria seguro que puedes capturar algo también. Lo malo de esto es que tienes que buscar la función adecuada para cada navegador, no es algo genérico.

Saludos

Test Foro de elhacker.net SMF 2.1

Como funciona el formgrabber de un malware?

usuario oculto

Karcrack

Novlucker

[Zero]