Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Troyano roba credenciales y datos sensibles en clientes de sistemas SAP
Recientemente se descubrió un programa malicioso que roba las contraseñas de acceso e información sensible de las aplicaciones cliente de los sistemas SAP, lo cual permite a los cibercriminales acceder a los servidores SAP desde los equipos infectados.
Investigadores de ERPScan, una compañía que desarrolla productos de seguridad para sistemas SAP, reveló en la conferencia de seguridad de RSA, llevada a cabo en el mes de octubre en Europa, que un nuevo programa malicioso escanea los equipos infectados en busca de la presencia de aplicaciones SAP, posiblemente para preparar nuevos ataques.
Los investigadores de Microsoft recientemente analizaron el mismo malware, el cual nombraron TrojanSpy:Win32/Gamker.A, y encontraron que realizaba más acciones que sólo un simple reconocimiento.
"Se trata de un intento de ataque a los sistemas SAP, no solo una inofensiva búsqueda de recolección de datos para determinar si la aplicación ha sido instalada" dijo Geoff McDonald, un investigador del Centro de Protección contra Malware de Microsoft (MMPC), en una publicación de blog el día miércoles. "Los atacantes están usando la ejecución del componente SAP ‘saplogon.exe’ para iniciar una grabación de los argumentos en línea de los comandos pasados a éste, en conjunto con 10 capturas de pantalla que son enviadas al servidor C&C".
El software malicioso Gamker tiene un componente que registra todas las pulsaciones del teclado que son introducidas a la aplicación mientras ésta se encuentra en ejecución en un equipo infectado. Además, el componente puede capturar las credenciales de autenticación tal como nombres de usuario y contraseñas, incluyendo las ingresadas a la aplicación SAP.
El malware también mantiene una larga lista de aplicaciones específicas para las cuales también captura los argumentos en línea de comandos y toma capturas de pantalla de sus ventanas activas.
La lista, además de incluir el programa saplogon.exe, también contempla programas financieros, herramientas criptográficas, clientes VPN, carteras Bitcoin y más. La lista completa está incluida en la publicación del Blog de MMPC, pero algunos ejemplos son rclient.exe (cliente de administración remota), translink.exe (una herramienta de Wester Union), truecrypt.exe y bestcrypt.exe (dos aplicaciones de cifrado), openvpn-gui (una interfaz grafica de usuario para el cliente OpenVPN).
