• Tweet

Miles de computadoras han sido comprometidas y forman parte de una red utilizada en el robo de identidad.

La firma de seguridad Sunbelt Software informó que se localizó un servidor en los EUA que almacenaba información robada de equipos comprometidos, mientras investigaba incidentes por spyware.

El servidor almacenaba contraseñas de cuentas en línea de más de 50 bancos, Ebay y Paypal, cientos de números de tarjetas de crédito y gran cantidad de datos personales. El FBI ha iniciado investigaciones en el caso.

Se cree que el bug utilizado para robar toda la información es una variante de la familia de troyanos conocida como Dumaru o Nibu, que explota una vulnerabilidad en el navegador Internet Explorer de Microsoft.

El troyano automáticamente se descargaba a sí mismo cuando un usuario visitaba un sitio que almacenaba el troyano. El troyano contiene un keylogger que almacena todo lo que el usuario escribe desde el teclado.

Lo que hace a este troyano tan efectivo es que es capaz de acceder a los datos almacenados en el portapapeles y por IE. El navegador de Microsoft tiene una capacidad llamada AutoComplete, que permite llenar formas de manera automática, generalmente cuando el usuario teclea su nombre, dirección, correo, números de tarjeta de crédito y demás información, esto ayudó a los intrusos a capturar una gran cantidad de información.

Usualmente un keylogger contienes cadenas de texto difíciles de separar, sin embargo la opción de AutoComplete de Internet Explorer contiene información con etiquetas y organizada de cierta forma que el navegador sabe donde colocar cada elemento.

El sitio de noticias de la BBC mostró el servidor y algunos de los archivos que contenían información personal. Cada archivo tenia nombres completos, direcciones de correo, información sobre tarjetas de crédito, todo lo necesario para robar la identidad de alguien o vaciar sus cuentas bancarias.

El análisis de la información contenida en los archivos reveló detalles de servicios en línea de más de 50 bancos, además de detalles de cuentas de usuarios en sitios como Ebay y Paypal. Una cuenta bancaria tenia más de $380,000 dls.

La firma Sunbelt contactó a varias personas cuyos datos se encontraban en estos archivos para informarles del problema. Bancos, firmas de tarjetas de crédito, Ebay y Paypal fueron informados de las cuentas comprometidas.

El servidor contenía varios archivos de varios megabytes, los cuales eran eliminados con regularidad. Los equipos infectados enviaban estos archivos cada hora, o cuando el tamaño de los archivos excedía un cierto tamaño.

El troyano había sido localizado en sitios dedicados a la pornografía y páginas que ofrecen cracks para software pirata. Sin embargo muy probablemente el troyano se localizaba en otros sitios de manera que pudiera infectar a más usuarios.

Sunbelt sospecha que el troyano ha estado circulando por más de 3 semanas, y hasta el día de hoy es probable que miles de computadoras estén infectadas.

La vulnerabilidad que explota permite que el usuario no tenga que hacer nada para que se infecte, solo visitar un sitio en la red y el sitio Web forzará la instalación del malware.

Varias víctimas no tienen ni idea de que están infectadas.

Esta versión del troyano es muy pequeña, y difícil de detectar, tiene un nombre muy común en el sistema y no causa problemas en el equipo.

El tamaño y lo sofisticado de esta red, hizo que firmas antivirus lanzaran herramientas para verificar si una maquina ha sido infectada y eliminar el troyano.

El troyano es difícil de detectar por que el trafico que enviaba al servidor, era enmascarado como trafico normal del navegador del usuario.