Troyano GAMKER roba credenciales y datos sensibles en clientes de sistemas SAP

Publicado el 23 noviembre 2013 ¬ 7:04 amh.mscComentarios desactivados en Troyano GAMKER roba credenciales y datos sensibles en clientes de sistemas SAP

Recientemente se descubrió un programa malicioso que roba las contraseñas de acceso e información sensible de las aplicaciones cliente de los sistemas SAP, lo cual permite a los cibercriminales acceder a los servidores SAP desde los equipos infectados.

Investigadores de ERPScan, una compañía que desarrolla productos de seguridad para sistemas SAP, reveló en la conferencia de seguridad de RSA, llevada a cabo en el mes de octubre en Europa, que un nuevo programa malicioso escanea los equipos infectados en busca de la presencia de aplicaciones SAP, posiblemente para preparar nuevos ataques.

Los investigadores de Microsoft recientemente analizaron el mismo malware, el cual nombraron TrojanSpy:Win32/Gamker.A, y encontraron que realizaba más acciones que sólo un simple reconocimiento.

“Se trata de un intento de ataque a los sistemas SAP, no solo una inofensiva búsqueda de recolección de datos para determinar si la aplicación ha sido instalada” dijo Geoff McDonald, un investigador del Centro de Protección contra Malware de Microsoft (MMPC), en una publicación de blog el día miércoles. “Los atacantes están usando la ejecución del componente SAP ‘saplogon.exe’ para iniciar una grabación de los argumentos en línea de los comandos pasados a éste, en conjunto con 10 capturas de pantalla que son enviadas al servidor C&C”.

El software malicioso Gamker tiene un componente que registra todas las pulsaciones del teclado que son introducidas a la aplicación mientras ésta se encuentra en ejecución en un equipo infectado. Además, el componente puede capturar las credenciales de autenticación tal como nombres de usuario y contraseñas, incluyendo las ingresadas a la aplicación SAP.
El malware también mantiene una larga lista de aplicaciones específicas para las cuales también captura los argumentos en línea de comandos y toma capturas de pantalla de sus ventanas activas.

La lista, además de incluir el programa saplogon.exe, también contempla programas financieros, herramientas criptográficas, clientes VPN, carteras Bitcoin y más. La lista completa está incluida en la publicación del Blog de MMPC, pero algunos ejemplos son rclient.exe (cliente de administración remota), translink.exe (una herramienta de Wester Union), truecrypt.exe y bestcrypt.exe (dos aplicaciones de cifrado), openvpn-gui (una interfaz grafica de usuario para el cliente OpenVPN).

 Fuente

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Noticias, , , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies