Investigadores especializados en seguridad informática, están advirtiendo a las instituciones financieras sobre el troyano Qakbot, una rara especie de malware que presuntamente se infiltra los grandes bancos y otras instituciones financieras mundiales. Es diferente a otros tipos de malware, ya que tiene la capacidad de propagarse como un gusano, pero aún así infectar a los usuarios como un troyano.
El troyano Qakbot, el nombre de su archivo ejecutable principal, “ _qakbot.dll”, no es nuevo, pero sus cualidades en el ataque y la diferencia que establece la cabeza y los hombros por encima de otros troyanos más conocidos, tales como Zeus, ya que puede infectar a varios equipos a la vez.
Según Uri Rivner investigador sudafricano de seguridad, los troyanos más conocidos y sus variantes, Zeus y SpyEye, están todos disponibles para la venta en el mercado negro, la cabeza de las nuevas tecnologías, protección de los consumidores de identidad de RSA, la División de Seguridad de EMC. Qakbot, descubrió por primera vez por Symantec en 2007, es más probable que se ejecute por un grupo. "No está disponible como un kit a través de Internet, ni para ponerse a la venta", dice Rivner. En cambio, es probable que un grupo de delincuencia organizada lo haya desarrollado, centrándose en sus propios métodos específicos y adaptados el troyano a un segmento específico, los grandes bancos y sus clientes comerciales.
Rivner no identificar a las instituciones específicas afectadas por Qakbot, pero los investigadores de RSA han identificado una serie de atributos únicos que hacen de este troyano mantenerse al margen. Por ejemplo: Qakbot es el primer troyano dirigido exclusivamente a empresas de cuentas financieras. Está diseñado para propagarse como un gusano, infectar a varias máquinas a la vez y al mismo tiempo robar datos bancarios.
Qakbot es el primer troyano para separar las credenciales específicas de cualquier otra información robada en el cliente, en lugar de en una zona de descenso.
El hecho de que Qakbot combine los atributos de un gusano y un troyano es único, Rivner dice. "No se suelen ver esto, porque un gusano se detecta fácilmente una vez que se entra en una red. Las posibilidades son mucho mayores después de 1.000 ordenadores están infectados, sería detectado, donde troyanos son más cauteloso."
Qakbot se muestra a sí mismo como altamente sofisticado, " no sólo por la cantidad de información que está tratando de capturar," Rivner dice. Incluso los bloques de direcciones IP de los investigadores que están tratando de estudio. "Se quiere asegurarse de que nadie puede penetrar en él", dice.
El ataque más famoso por Qakbot fue el ataque a la Red Nacional de Servicios de Sanitarios del Reino Unido a principios de este año. El gusano-troyano golpeó la red del sistema sanitario tan rápido que el encargado de la investigación, dijo más tarde que 4 Gigabytes de datos se tomaron en un corto período de tiempo. Si bien no hay pruebas de que los datos médicos se hayan visto comprometidos , los demás datos si que fueron tomados, incluyendo las credenciales de inicio de sesión de Facebook, Twitter, Hotmail, Gmail y Yahoo. Todos fueron canalizados a través de servidores NHS-Control.
Una vez dentro de un equipo, Qakbot divide y filtra los datos que tiene en los distintos segmentos antes de ser enviados a través de cuentas FTP. Rivner lo describe como un "capturador de la vida", ya que roba todo lo que un usuario está haciendo.
Además, el programa malware es único, ya que comparte redes, copia su fichero ejecutable en los directorios compartidos y así contamina cada computadora de la red corporativa.
Los investigadores todavía están indagando cómo el malware adquiere el dinero de las cuentas bancarias de las empresas. Hasta ahora los investigadores dicen que no hay rastros de HTML o inyecciones de código JavaScript o ataques web de Troyano en el navegador.
Rivner dice que el objetivo del malware dentro de las cuentas de las empresas es simplemente una cuestión económica. El objetivo de Qakbot es desviar grandes sumas de dinero, mucho más de lo que generalmente estarán disponibles en cuentas privadas en línea. Se especula que algunos de los usuarios que revelaron el fraude ACH en empresas de EE.UU, pueden estar vinculado a Qakbot.
BANK INFO SECURITY (8-11-2010)
http://www.bankinfosecurity.com/articles.php?art_id=3075
