Descubierto troyanos que roban información personal disfrazados de proveedores de Software

Fecha:
Sep 10 2015 10:46AM

Una nueva investigación logró explicar la relación que existe entre los archivos con malware en su interior y el actual sistema de seguridad informático que existe. Una de las tendencias más comunes entre los virus e infecciones tecnológicas, es el phishing, o suplantación de identidad en empresas, marcas y ahora, en las aplicaciones.

Una de las tendencias más comunes entre los virus e infecciones tecnológicas, es el phishing, o suplantación de identidad en empresas, marcas y ahora, en las aplicaciones.

Desde fines de 2014, cada vez son más las campañas de malware que están incursionando en los archivos adjuntos de correos electrónicos, utilizando documentos Word y archivos PDF como medios de ataque con macros que descargan los archivos infectados.

Recientemente RSA, una empresa de seguridad, dio a conocer información sobre las aplicaciones troyanas incorporadas en documentos Word, disfrazadas como archivos adjuntos PDF y que se implementan ni bien la víctima hace clic en el vínculo de archivo incorporado.

Investigando esta tendencia, los analistas de inteligencia de esta agencia descubrieron una hoja de cálculo de Excel en libre circulación que contiene una serie de supuestas imágenes JPEG como "archivos adjuntos” dentro de la hoja de datos.

Esta última, distribuida como un archivo denominado "chika”, al parecer contiene archivos adjuntos e incluye botones de activación para abrirlos. Una vez que se hace clic en uno de los botones, aparece un mensaje que le solicita a la víctima que habilite las macros en Excel. En cuanto se habilita la macro, se activa la comunicación con un servidor y se descarga el archivo de infección que instala la aplicación troyana Pony Stealer en el equipo de la víctima.

Pony Stealer es una aplicación programada para robar contraseñas de otras como las de mensajería instantánea, los clientes FTP, los navegadores de Internet, los usuarios de correo electrónico y las claves de CD de Windows. De esta forma, el malware roba todos los conjuntos de credenciales de formularios de envío, incluidos los utilizados en portales de operaciones bancarias en línea, como parte de su robo de datos de rutina. Pony Stealer también actúa como cargador de otros troyanos, descargando e implementando otros elementos de malware como troyanos bancarios para facilitar el robo de credenciales financieras e información de operaciones bancarias en línea. Se suelen encontrar en los mismos servidores C&C en los que está implementada una botnet Zeus.

Aunque los elementos y kits de explotación están en circulación desde hace ya bastante tiempo, últimamente los suministros de noticias de seguridad de la información han estado alertando sobre nuevas instancias que atacan las vulnerabilidades de Adobe Flash Player y, en un caso reciente, se aprovechó la vulnerabilidad para plantar infecciones de malware Ransomware en víctimas desprevenidas.

Un kit de explotación, a veces llamado paquete de explotación, es un set de herramientas que automatiza el aprovechamiento de vulnerabilidades en el cliente. En otras palabras, estos kits aprovechan debilidades de las aplicaciones de software de las computadoras de los usuarios finales para propagar malware. Los mismos suelen apuntar a navegadores y programas que un sitio web puede invocar mediante un explorador. Por otro lado, entre los objetivos más comunes de los últimos años, se encuentran vulnerabilidades detectadas en Adobe Reader, Java Runtime Environment y Adobe Flash Player.

La mayoría de los proveedores de software distribuyen parches y actualizaciones a penas se detectan nuevas vulnerabilidades, pero depende de los usuarios finales y los administradores del sistema garantizar que se apliquen estas actualizaciones. Según encuestas recientes, al menos un tercio de todas las explotaciones activas en la actualidad se documentaron en 2010, y el hecho de que sigan en uso indica que los usuarios finales no han actualizado el software de la computadora ni aplicado parches que están disponibles desde hace 4 años o más.

Los analistas de inteligencia de RSA FraudAction detectaron una serie de proveedores en el entorno clandestino que ofrecen información personal y credenciales para el Reino Unido; como fechas de nacimiento, información de pasaportes del Reino Unido, escaneos de pasaportes, conjuntos completos de información personal, además de "fullz” (datos completos de tarjetas de crédito rob

  • Compartir en Facebook
  • Compartir en Twitter
  • Compartir en LinkedIn
  • Compartir en Google+