El troyano Shylock extiende su radio de acción con nuevas funcionalidades
Shylock, un prolífico troyano bancario experto en robo de credenciales, se está extendiendo y volviendo cada vez más sofisticado, a medida que sus creadores continúan añadiendo nuevos módulos y funcionalidades al malware, según un informe de Symantec.
Hasta ahora, el troyano Shylock había ganado dinero a través de ataques Man in the Browser (MITB) diseñados para robar datos de inicios de sesión bancarios desde una lista predeterminada de organizaciones, en su mayoría bancos e instituciones financieras del Reino Unido, pero también de Estados Unidos e Italia. Ahora un análisis de Symantec pone de manifiesto que Shylock ha comenzado a extenderse, y ya se han registrado los primeros ataques a instituciones de otros países, una expansión global que es parte de la nueva imagen del troyano. Los creadores del malware también habrían depurado la lista de objetivos para erradicar a entidades menos valiosas y más difíciles de comprometer o a aquellas que no prestan servicios a clientes de alto valor.
Symantec señala asimismo que Shylock incluye nuevas funcionalidades y módulos, incluyendo un archivador que permite comprimir y cargar archivos de vídeo grabados en servidores remotos, un mecanismo BackSocks que permite a Shylock utilizar máquinas infectadas como servidores proxy, una funcionalidad diskspread que permite la propagación del troyano través de unidades extraíbles, un módulo ftpgrabber que soporta el robo de contraseñas de diversas aplicaciones, un módulo MsgSpread que da a Shylock la capacidad de proliferar a través de Skype, y un módulo VNC que ofrece a los atacantes una conexión remota a los dispositivos comprometidos.
Finalmente, además de reducir su lista de objetivos y añadir características para expandir sus capacidades y su alcance, los creadores de Shylock también están fortaleciendo su infraestructura para limitar el tiempo de inactividad. Symantec ha detectado así muestras de Shylock que balacea el tráfico entre sus servidores para ayudar a equilibrar la carga durante los períodos de tráfico alto. Shylock tiene tres tipos de servidores de los que Symantec tiene constancia: los servidores de comando y control, VNC y servidores BackSocks que permiten a los atacantes realizar transacciones remotas, y servidores Javascript que manejan el negocio actual de inyectar código para interceptar el tráfico durante los ataques MITB.
Noticias relacionadas:
- El 60 por ciento de los troyanos bancarios afectan a las entidades financieras españolas
