HERRAMIENTAS DE SOFTWARE ESPÍA A LA VENTA EN INTERNET
El Centro de Control
Antifraude de RSA (AFCC, por sus siglas en inglés), la división de seguridad de
EMC, investigó una muestra del troyano Zeus, y descubrió la existencia de un grupo
de estafadores que está ofreciendo un conjunto de herramientas de software
espía que se encuentran a la venta bajo los nombres de los proveedores
TampStore y Crown Softwares.
La tienda online ofrece
una serie de paquetes de software integrados por conjuntos de herramientas que
se presentan abiertamente como "spyware" legítimo, con iconos de
paquetes individuales en diferentes colores para cada uno de los productos.
Estas herramientas
ofrecen una serie de características que pueden ser ilegales en muchos países,
y son comúnmente utilizadas por los desarrolladores de malware para robar datos
de los computadores infectados.
La tienda en línea ofrece
los siguientes "productos":
- TampZusa - aplicación
que roba información e imágenes de los navegadores, clientes de correo
electrónico, capturas de pantalla, cámara web y clientes de mensajería.
- TampStealer - es
igual que TampZusa, y cuenta con algunas bonificaciones extra añadidas al
paquete.
- TampKelogger Classic
- un keylogger básico, que también puede grabar títulos de las ventanas.
- TampKeylogger Premium
- un keylogger con todas las funciones, que también incluye todas las
características del TampStealer.
- TampSpammer - una
aplicación básica de envío masivo de correo basura.
De todos los productos
de la lista, el TampStealer parece ser el conjunto más completo de herramientas
de software espía.
El estafador no parece
ser tímido en la publicidad de sus mercancías en Facebook, o a exponer
numerosas direcciones de correo electrónico para promocionarse en varios foros y sitios públicos
de redes sociales. RSA ha trazado una serie de entradas publicadas por el
estafador en un foro de un hacker rumano, así como la publicidad disponible en
un foro de programación web.
Tras realizar
investigaciones adicionales del panel de administración y los archivos de la
aplicación TampStealer, RSA descubrió registros de credenciales de acceso
robados. Un archivo de registro de la aplicación TampStealer, contenía nada
menos que 8.145 registros de conexión robados.
Una nueva alternativa de malware
Adicionalmente, el equipo de RSA
FraudAction descubrió a Pandemiya, una
nueva aplicación de malware troyano comercial que recientemente se ha
promocionado en foros clandestinos como una nueva alternativa al troyano Zeus y
sus variantes. Actualmente, los estafadores responsables de Pandemiya lo están
promocionando a un precio de US$1500 por la aplicación básica o US$2000 por la
aplicación básica con plug-ins que agregan más funciones.
Pandemiya
está diseñado para permitir espiar una computadora infectada, robando en
secreto los datos de formularios, las credenciales de inicio de sesión y los
archivos de la víctima, además de tomar instantáneas de su computadora. Este
malware también permite la inyección de páginas falsas en un navegador de
Internet, con el objetivo de obtener información confidencial adicional de
parte de las víctimas.
Como
muchos de los otros troyanos que hemos visto últimamente, Pandemiya incluye
medidas de protección para cifrar la comunicación con el panel de control y
evitar la detección por parte de los analizadores de red automatizados. Un
aspecto interesante de la aplicación es su diseño modular, que hace muy fácil
expandirlo y agregarle funciones.
La
llegada de una nueva aplicación de malware troyano con código original no es
demasiado común en el mundo clandestino. La decisión de diseño de hacer que
este malware sea modular y fácil de expandir con plug-ins DLL podría hacerlo
más prevalente en el futuro cercano. No obstante, el precio inicial
relativamente alto de esta aplicación o su anonimato han evitado su
distribución masiva hasta ahora. Solo el tiempo dirá si su popularidad aumenta.
El equipo de RSA estará atento a su evolución.
No hay comentarios:
Publicar un comentario