PandaLabs ha detectado la aparición de Spymaster.A, un troyano diseñado para
robar todo tipo de datos de los sistemas a los que afecta y que gracias al
empleo de un curioso sistema de ocultación, es capaz de hacerse pasar por la
aplicación MSN Messenger, de manera que los usuarios no sospechen de su
presencia en el sistema.
De hecho, combina características tanto de spyware como de keylogger, por lo
que puede capturar desde los hábitos de navegación de los usuarios cuando se
conectan a Internet, hasta los nombres de usuario y contraseñas de acceso a
servicios, como pueden ser los de banca online. Además, gracias Como la gran
mayoría de troyanos, Spymaster.A no puede propagarse por sus propios medios,
sino que necesita de la intervención de algún usuario malicioso. Así, puede
llegar a los ordenadores como un archivo adjunto a mensajes de correo
electrónico, o bien ser descargado desde páginas web, aplicaciones P2P,
sistemas de mensajería instantánea, disquetes o CD-ROM infectados, etc.
Sea cual sea la forma en que llegue al equipo, si el usuario ejecuta un archivo
que contenga a Spymaster.A, se crea el fichero syscont.exe, que es una copia
del troyano. El proceso asociado a dicho archivo lleva por nombre Win serviço.
Sin embargo, emplea un sistema de ocultación por el cual, en caso de que el
usuario observe los procesos que se encuentran activos en memoria en el
administrador de tareas, únicamente verá la supuesta ejecución de la aplicación
MSN Messenger. Este proceso, en realidad, oculta las acciones de Spymaster.A.
Asimismo, crea varias entradas en el registro de Windows con el objetivo de
asegurar la ejecución de dicho archivo cada vez que se reinicie el ordenador.
El troyano crea también el fichero de texto syslogy.cc. En este archivo se
almacenan los datos sobre los programas que el usuario ejecuta, las páginas web
que visita, así como todos los datos que introduce a través del teclado. Este
fichero será el que se envíe, a través de FTP, a una dirección dónde el
atacante podrá recogerlo.
Según Luis Corrons, director de PandaLabs: “Los troyanos keylogger suelen ser
empleados por ciberdelincuentes para robar datos confidenciales con los que
llevar a cabo acciones fraudulentas. Dado que, en la actualidad, la consecución
de beneficio económico se ha convertido en la principal motivación de los
autores de códigos maliciosos, es casi seguro que aparecerán muchos ejemplares,
cada vez más sofisticados y difíciles de detectar. La forma de ocultación del
proceso en memoria de Spymaster.A, es un buen ejemplo de ello”.
|