Aparece malware que roba credenciales FTP

La nueva variante descubierta forma parte de la familia de agentes infecciosos PE_EXPIRO, descubierta en 2010, según un reciente post publicado por investigadores de la firma de antivirus. Sin embargo, la rutina de  robo de información de esta versión no es habitual en este tipo de malware.

La nueva amenaza se distribuye atrayendo a usuarios a sitios web que alojan un conjunto completo de elementos Java y PDF infectados. Si el usuario navega por los enlaces que no están actualizados, el malware se instala en sus ordenadores.

El fallo de Java está en las vulneraciones de ejecución de código remoto CVE-2010-1723 y CVE-2013-1493 que fueron parcheadas por Oracle en junio de 2012 y en marzo de 2013, respectivamente.

Según la información compartida por Trend Micro, el pasado 11 de julio se produjo un pico de infecciones con esta nueva variante EXPIRO, de las cuales en torno a un 70 por ciento se registró en Estados Unidos.

Una vez que esta variante corre en un sistema, busca archivos .EXE en todos los discos, locales, de red y extraíbles, y les inyecta código infectado. Además, recoge información del sistema y de sus usuarios, incluidas las acreditaciones de acceso a Windows, y roba credenciales FTP desde un cliente FTP open source muy popular, llamado FileZilla. La información robada se aloja en un archivo con extensión .DLL y se carga en servidores de malware Command and Control.

“La combinación de elementos de ataque es altamente inusual y sugiere que este ataque estándar no utiliza herramientas pirata normalmente disponibles”, subrayan los expertos de Trend Micro. (blog post).

El robo de credenciales FTP sugiere que los atacantes están intentando comprometer webs o robar información de organizaciones que están alojadas en servidores FTP. Sin embargo, no parece que la amenaza esté dirigida a ningún sector en particular, concluyen los especialistas.

Esta es una información de Lucian Constantin. IDG News Service