El troyano Shylock extiende su radio de acción con nuevas funcionalidades
Shylock, un prolífico troyano bancario experto en robo de credenciales, se está extendiendo y volviendo cada vez más sofisticado, a medida que sus creadores continúan añadiendo nuevos módulos y funcionalidades al malware, según un informe de Symantec.
Hasta ahora, el troyano Shylock había ganado dinero a través de ataques Man in the Browser (MITB) diseñados para robar datos de inicios de sesión bancarios desde una lista predeterminada de organizaciones, en su mayoría bancos e instituciones financieras del Reino Unido, pero también de Estados Unidos e Italia. Ahora un análisis de Symantec pone de manifiesto que Shylock ha comenzado a extenderse, y ya se han registrado los primeros ataques a instituciones de otros países, una expansión global que es parte de la nueva imagen del troyano. Los creadores del malware también habrían depurado la lista de objetivos para erradicar a entidades menos valiosas y más difíciles de comprometer o a aquellas que no prestan servicios a clientes de alto valor.
Symantec señala asimismo que Shylock incluye nuevas funcionalidades y módulos, incluyendo un archivador que permite comprimir y cargar archivos de vídeo grabados en servidores remotos, un mecanismo BackSocks que permite a Shylock utilizar máquinas infectadas como servidores proxy, una funcionalidad diskspread que permite la propagación del troyano través de unidades extraíbles, un módulo ftpgrabber que soporta el robo de contraseñas de diversas aplicaciones, un módulo MsgSpread que da a Shylock la capacidad de proliferar a través de Skype, y un módulo VNC que ofrece a los atacantes una conexión remota a los dispositivos comprometidos.
Finalmente, además de reducir su lista de objetivos y añadir características para expandir sus capacidades y su alcance, los creadores de Shylock también están fortaleciendo su infraestructura para limitar el tiempo de inactividad. Symantec ha detectado así muestras de Shylock que balacea el tráfico entre sus servidores para ayudar a equilibrar la carga durante los períodos de tráfico alto. Shylock tiene tres tipos de servidores de los que Symantec tiene constancia: los servidores de comando y control, VNC y servidores BackSocks que permiten a los atacantes realizar transacciones remotas, y servidores Javascript que manejan el negocio actual de inyectar código para interceptar el tráfico durante los ataques MITB. Escrito por Hilda Gómez
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.