Bolik, un nuevo troyano bancario sucesor de Zeus y Carberp
Bolik, un nuevo troyano bancario sucesor de Zeus y Carberp
Las versiones se suceden y los usuarios tienen que hacer frente a cada vez más amenazas. Los ciberdelincuentes tienen una clara ventaja, y es que la gran cantidad de muestras permite crear híbridos, como es el caso del que nos ocupa y que ha recibido el nombre de Bolik. Este troyano bancario es considerado el sucesor de Zeus y de Carberp aunque tiene alguna que otra particularidad.
Tal y como suele suceder en otras ocasiones, esta Bolik, un nuevo troyano bancario sucesor de Zeus y Carberp está diseñada para robar las credenciales de acceso de los servicios bancarios. Muchas funcionalidades se han heredado de Zeus y Carberp, aunque hay que decir que existen algunas que son una novedad, como es el caso de la forma de distribución. Mientras los que se consideran sus padres utilizan correos electrónicos spam, en el caso del troyano bancario que nos ocupa esto cambia radicalmente y utiliza los equipos infectados para infectar los archivos del sistema operativo y así expandirse haciendo uso de las direcciones de correo existentes o bien aprovechar la conexión de unidades USB para replicarse en ellas.
La amenaza está programada para afectar a sistemas operativos Windows tanto de 32 como de 64 bits y en un principio su información está cifrada para evitar posibles análisis.
Bolik previene el análisis de herramientas de seguridad
La funcionalidad citada con anterioridad (el estado de cifrado inicial) sirve para evitar que las herramientas de seguridad y los expertos del sector puedan llevar a cabo el análisis del virus y así obtener todas o la mayor parte de sus características. De esta forma, cuando el instalador llega al equipo, realiza esta comprobación y toma una decisión. En el caso de que no haya detectado la actividad de ninguna herramienta de seguridad o máquina virtual solicita al servidor de controla la clave para llevar a cabo el descifrado y proceder a la instalación. En caso contrario el proceso se detiene y la parte crítica del ejecutable queda inaccesible.
Proxy o keylogger para llevar a cabo el robo de la información
En este aspecto no han reinventado la rueda y podría decirse que el comportamiento es el esperado. Por un lado se hace uso de un servidor proxy que se configura en el navegador web y que permite controlar la navegación del usuario y redirigirla a páginas falsas. Pero además de este, los ciberdelincuentes cuentan con la ayuda de un keylogger que permite recopilar toda la información introducida a través del teclado.
– Ver información original al respecto en Fuente:
http://www.redeszone.net/2016/07/02/bolik-nuevo-troyano-bancario-sucesor-zeus-carberp/#sthash.MujlMaVI.dpuf
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.