• Tweet

Se ha descubierto una nueva variante del troyano ruso Gozi que puede robar datos mientras se lleva a cabo una comunicación segura con SSL.

El troyano es uno de los más sofisticados que se han encontrado y tiene una gran variedad de características para hacer difícil su detección. Cuando identifica una sesión SSL en progreso se activa la función de captura de teclado para robar las credenciales del usuario.

Adicionalmente, el troyano hace difícil su detección al mutar constantemente para que los motores basados en firmas no puedan detectarlo.

También tiene sus propias funciones de compresión y extracción que utiliza para evadir la identificación.

"Es suficientemente malo que esta versión de Gozi pueda cifrarse a si misma para evadir la búsqueda convencional basada en firmas", dijo Geoff Sweeney, CTO de análisis de seguridad de la compañía Tier-3.

"El hecho de que sólo activa la función de captura de teclado cuando se ingresa a un portal bancario hace casi indetectable a este troyano con la tecnología convencional de los mecanismos de seguridad actuales".

"Creo que con esta nueva versión (del troyano), la única forma de identificarlo es por medio de tecnología de análisis de comportamiento".

El troyano fue descubierto por Don Jackson, un investigador de SecureWorks en Estados Unidos, quien encontró que incluso con la firma del malware era indetectable para diversos paquetes antivirus, aunque algunos lo identificaron como sospechoso.

Jackson rastreó la dirección IP a donde se estaba enviado la información y encontró los detalles de cuentas de banco de cerca de 5200 usuarios.

"La información encontrada incluía banco, números de cuenta e incluso números de seguro social y otros datos", dijo Jackson.

"Los datos robados también contenían usuarios y contraseñas de personas que trabajan en diversas agencias federales y estatales, así como del gobierno local y de agencias de investigación".