Trojan-Banker.Win32.BifitAgent, un troyano que ataca a la banca online
Kaspersky Lab ha alertado del peligro de Trojan-Banker.Win32.BifitAgent, un troyano que ataca a la banca online a través del robo de datos confidenciales de los usuarios.
Así, y según informa Kaspersky Lab, Trojan-Banker.Win32.BifitAgent es un programa que modifica la cuantía y destinatario de las transacciones legítimas de banca online sin el conocimiento de la víctima.
Una de las características particulares de Trojan-Banker.Win32.BifitAgent es que incluye una firma digital.
Cabe señalar que Trojan-Banker.Win32.BifitAgent ejecuta dos módulos principales en el equipo capturado: un archivo ejecutable y un archivo comprimido JAVA. Mientras se instala, crea una carpeta en la que se copian los siguientes archivos: AGENT.EXE, ALL.POLICY v, BIFIT_A.CFG v, BIFIT_AGENT.JAR v, y JAVASSIST.JAR v.
“El principal módulo ejecutable, responsable de la comunicación con el servidor de comando, funciona de forma simultánea con los archivos maliciosos JAR. Esto permite a los ciberdelincuentes modificar de forma instantánea cualquier código que se ejecute en JAVA, en particular mientras se llevan a cabo las transacciones bancarias”, destaca Kaspersky Lab, que continía afirmando que “el código de BIFIT_AGENT.JAR está altamente ofuscado, dificultando aún más el análisis de los archivos que interactúan con estos sistemas. No obstante es posible reconstruir las acciones del programa malicioso ya que éste posee amplias capacidades relacionadas con el registro de sus propias acciones. El análisis de la funcionalidad incluida en BIFIT_AGENT.JAR demuestra que la principal función de los archivos JAR es falsear los datos utilizados en las transacciones bancarias realizadas desde los equipos infectados. Y todo esto pasa desapercibido para el usuario, ya que los datos que se falsean son los que se envían al banco, no los que ve el usuario. El uso de un token USB en la transacción no es ningún obstáculo para los atacantes, ya que se firma la transacción sólo después de que los datos se han falseado”.
Una de las características particulares de Trojan-Banker.Win32.BifitAgent es que incluye una firma digital.
Cabe señalar que Trojan-Banker.Win32.BifitAgent ejecuta dos módulos principales en el equipo capturado: un archivo ejecutable y un archivo comprimido JAVA. Mientras se instala, crea una carpeta en la que se copian los siguientes archivos: AGENT.EXE, ALL.POLICY v, BIFIT_A.CFG v, BIFIT_AGENT.JAR v, y JAVASSIST.JAR v.
“El principal módulo ejecutable, responsable de la comunicación con el servidor de comando, funciona de forma simultánea con los archivos maliciosos JAR. Esto permite a los ciberdelincuentes modificar de forma instantánea cualquier código que se ejecute en JAVA, en particular mientras se llevan a cabo las transacciones bancarias”, destaca Kaspersky Lab, que continía afirmando que “el código de BIFIT_AGENT.JAR está altamente ofuscado, dificultando aún más el análisis de los archivos que interactúan con estos sistemas. No obstante es posible reconstruir las acciones del programa malicioso ya que éste posee amplias capacidades relacionadas con el registro de sus propias acciones. El análisis de la funcionalidad incluida en BIFIT_AGENT.JAR demuestra que la principal función de los archivos JAR es falsear los datos utilizados en las transacciones bancarias realizadas desde los equipos infectados. Y todo esto pasa desapercibido para el usuario, ya que los datos que se falsean son los que se envían al banco, no los que ve el usuario. El uso de un token USB en la transacción no es ningún obstáculo para los atacantes, ya que se firma la transacción sólo después de que los datos se han falseado”.
