Su objetivo parecen ser conseguir las contraseñas de usuarios de habla
hispana que accedan a la banca on-line de una serie de direcciones que lleva en
su código, casi todas entidades bancarias de Venezuela y de otros países
hispanohablantes.
La principal novedad que aporta este troyano es su capacidad para capturar
información confidencial del usuario (login y password para acceder a su banco
de forma on-line) sin necesidad de utilizar tradicionales capturadores de
teclado (keyloggers) y lo hace sin ningún conocimiento por parte del usuario.
Esto demuestra que las medidas que las entidades bancarias han tomado para
evitar este tipo de robo de claves, como introducir un teclado virtual para que
el usuario introduzca sus claves, son insuficientes.
Una vez el autor tiene dichas claves, puede acceder de forma on-line a dichas
cuentas y cometer robos económicos que perjudique seriamente tanto a usuarios
particulares como a empresas.
Según Luis Corrons, director de PandaLabs: “Este troyano es un
ejemplo de mezcla de técnicas híbridas que es capaz de hacer que el usuario
haga clic en la URL, descargar un troyano y poner en prácticas técnicas de
spyware y phishing cuando el usuario va a su banco. Sin duda, se trata de un
troyano diseñado para cometer robos económicos de forma rápida sin dejar pistas
ni alertar al usuario de que algo pasa en su equipo”.
Nabload.U utiliza la ingeniería social para conseguir que el usuario, sólo con
una frase en castellano, “ve esa vaina http://hometown.%eliminado%.au/miralafoto/foto.exe”,
haga clic en un link que le proporciona. Se camufla haciéndose pasar por un
contacto del usuario. Una vez el usuario accede a dicha URL, se descarga otro
troyano, Banker.BSX. También puede ofrecer otras dos URLs alternativas: http://hometown.%eliminado%.au/arqarq/coco2006.jpg
o http://hometown.%eliminado%.au/modnatal/coco2006.jpg, que descarga un fichero
de configuración donde, entre otros datos, puede encontrarse la dirección de
correo a la que el troyano enviará las contraseñas robadas.
Dicho troyano abre el puerto 1106 y se queda residente. De esta
manera, cuando el usuario intenta acceder a algunas de las direcciones de
bancos que se muestran a continuación, el troyano-espía es capaz de capturar
todo lo que el usuario hace en la pantalla, incluyendo las claves de acceso a
su banco que teclee mediante teclados virtuales. Las direcciones en las que el
troyano puede capturar información son las siguientes:
• https://secure2.venezolano.com/
• https://e-bdvcp.banvenez.com
• https://www.ibprovivienda.com.ve/personas/
• https://banco.micasaeap.com/individualmc/
• https://olb.todo1.com/servlet/msfv/
• https://www.banesco.com/servicios_electronicos_pag.htm
• https://www.banesconline.com
• https://www.provinet.net/shtml/
• https://bod.bodmillenium.com
• https://www.corp-line.com.ve/personas/
Una vez ha capturado la información, el troyano envía dichos datos a una cuenta
de correo, que el hacker tiene potestad de cambiar siempre que quiera. Una vez
que dichas claves están en poder del autor del gusano, éste puede hacer
cualquier cosa con ellas, incluyendo el robo económico, que puede perjudicar
seriamente tanto a usuarios domésticos como a particulares.
Para ayudar al mayor número de usuarios a analizar y/o desinfectar puntualmente
sus equipos, Panda Software ofrece gratuitamente -en http://www.pandasoftware.es/home/default.asp
- la solución antimalware online Panda ActiveScan, que ahora también detecta
spyware. Además, los webmasters pueden ofrecer este mismo servicio a los
visitantes de sus páginas web mediante la inclusión de un código HTML que
pueden obtener gratuitamente en http://www.pandasoftware.es/partners/webmasters/ |