No recuerdo la última vez que publique una noticia
de malware (uno de mis temas favoritos), pero ha llegado la hora de lanzar otra
publicación relacionada a los software maliciosos, puesto que un nuevo virus ha
aparecido en escena con el propósito de robar
los datos de las entidades bancarias. A diferencia de lo que estamos
acostumbrados, este virus no afecta a los usuarios finales sino que se instala
en los servidores y equipos de los principales bancos para robar su
información.
La compañía de seguridad Symantec ha detectado un nuevo troyano que ya
se conoce con el nombre de Stabuniq
y cuya finalidad es el robo de información bancaria. Para ello no recurre a los
usuarios finales e infecta sus equipos, sino que se salta un eslabón y ataca
directamente a los servidores y equipos de las entidades bancarias.
Como siempre, lo casos hasta ahora se dan en territorio norteamericano y
en algunas entidades bancarias del este de Europa, además de estar afectando a
algunas instituciones financieras del Gobierno americano, en un intento por
expandir su rango de alcance. Los expertos de Symantec han detectado 50 direcciones IP infectadas por este
malware y aún no tienen claro si el destino es el usuario final o las propias
entidades bancarias.
El origen del malware troyano, parece estar relacionado con un envío masivo de correos electrónicos
con contenido phising, dichos correos llevan un enlace que redirige a los
usuarios a una web que alojaba el exploit. Mediante esta técnica han sido
capaces de infectar algunos ordenadores y servidores. Con mucha probabilidad
llegaron camuflados como falsas actualizaciones de Adobe Flash Player o Adobe
Reader.
El objetivo del troyano es recopilar la información del equipo sobre el
que se encuentra instalado y que la reporta a un servidor remoto. Entre la información recopilada nos encontramos
con el tipo y la versión del sistema operativo, los programas instalados, los
sistemas de seguridad presentes y la carpeta de temporales del equipo. En
algunos casos también se está enviando el historial de navegación.
En mi opinión personal, no entiendo cómo llega a los servidores,
teniendo en cuenta que el 90% de los servidores web corren sobre un sistema
operativo Linux y que necesita permiso del root para ejecutarse.
