Un nuevo programa troyano que puede espiar a las víctimas, robar credenciales de inicio de sesión e interferir con las sesiones de navegación se está vendiendo en el mercado clandestino y pronto podría ver una distribución más amplia..
La nueva amenaza se llama Pandemiya y sus características son similares a las del infame programa troyano Zeus que muchas pandillas cibercriminales utilizaron durante años para robar información financiera de empresas y consumidores..
El código fuente de Zeus se filtró en foros clandestinos en 2011, lo que permitió a otros desarrolladores de malware crear programas troyanos basados en él, incluidas amenazas como Citadel, Ice IX y Gameover Zeus, cuya actividad fue interrumpida recientemente por un esfuerzo internacional de aplicación de la ley..
"La calidad de codificación de Pandemiya es bastante interesante y, al contrario de las tendencias recientes en el desarrollo de malware, no se basa en absoluto en el código fuente de Zeus, a diferencia de Citadel / Ice IX, etc.", dijeron investigadores de RSA, la división de seguridad de EMC. en una entrada de blog "A través de nuestra investigación, descubrimos que el autor de Pandemiya pasó cerca de un año codificando la aplicación, y que consta de más de 25,000 líneas de código original en C."
El nuevo programa troyano puede inyectar código falso en sitios web abiertos en un navegador local, una técnica conocida como inyección web; obtener información ingresada en formularios web; robar archivos; y tomar capturas de pantalla. Debido a que tiene una arquitectura modular, su funcionalidad también se puede extender a través de archivos DLL (biblioteca de enlaces dinámicos) individuales que actúan como complementos.
Algunos de los complementos existentes de Pandemiya permiten a los cibercriminales abrir servidores proxy inversos en computadoras infectadas, robar credenciales FTP e infectar archivos ejecutables. Sus creadores también están trabajando en otros para permitir conexiones inversas del Protocolo de escritorio remoto y permitir que el malware se propague a través de cuentas de Facebook secuestradas, dijeron los investigadores de RSA.
"Al igual que muchos de los otros troyanos que hemos visto últimamente, Pandemiya incluye medidas de protección para cifrar la comunicación con el panel de control y evitar la detección por analizadores de red automatizados", dijeron los investigadores.
La nueva amenaza se anuncia en foros clandestinos por US $ 1,500 para la aplicación principal y $ 2,000 con complementos adicionales, un precio de entrada relativamente alto para los cibercriminales. Este aspecto y el hecho de que es nuevo ha evitado que Pandemiya gane popularidad hasta ahora, pero debido a que puede expandirse fácilmente con los complementos de DLL "podría hacerlo más dominante en el futuro cercano", dijeron los investigadores de RSA.
Únase a las comunidades de Network World en Facebook y LinkedIn para comentar temas que son lo más importante.
