Una banda criminal bien organizada ha robado las credenciales de más de medio millón de cuentas financieras en menos de tres años utilizando un troyano sofisticado que permanece indetectable para la vasta mayoría de sus víctimas, advirtió un informe publicado este viernes.
El botín del banco, tarjetas de crédito y débito y números de cuentas robados por el troyano Sinowal está entre los mayores jamás descubiertos. Fue descubierto por investigadores del Laboratorio de Investigación de Acciones de Fraude de RSA. Dicen que el programa, que también es conocido como Torpig y Mebroot, ha estado operando sin interrupciones por casi tres años, un lapso de tiempo poco común en el irresponsable mundo del cibercrimen.
"Muy raramente nos topamos con crimenware que ha estado robando continuamente y coleccionando información personal, datos de tarjetas, y comprometiendo cuentas bancarias desde 2006," escriben los investigadores de RSA.
Lo que es más, Sinowal se ha vuelto más productivo con el tiempo. En los últimos seis meses comprometió mas de 100.000 cuentas. Desde febrero, el número de variantes ha pasado de menos de 25 por mes a mas de 70, según RSA. Este aumento ayuda a que el malware evada la detección de los programas antivirus.
En total el troyano ha infectado al menos 300.000 máquinas Windows y robado 270.000 números de cuentas bancarias y 240.000 credenciales de tarjeta de débito y crédito.
El Sinowal es también admirable por otras razones. A diferencia de muchos troyanos, no se basa en engañar al usuario en hacer clic en un vínculo o archivo para instalarse. En lugar de eso se disemina silenciosamente mediante sitios web que hacen presas a equipos con vulnerabilidades del sistema operativo Windows o de aplicaciones de terceros como Flash de Adobe o el reproductor multimedia QuickTime de Apple.
"Este troyano en particular puede quedar instalado sin siquiera que lo note el usuario final que está seguro que no aceptó nada o que nada fue instalado," dijo en una entrevista Sean Brady, administrador de protección de identidad de RSA.
Luego se oculta en el registro maestro de arranque del disco de la computadora, haciendo extremadamente difícil que sea hallado. Y el único remedio que tienen las víctimas, que por fortuna descubren que su sistema está contaminado, es reformatear el disco duro y reinstalar el sistema operativo.
Brady dijo que RSA compartió la información que descubrió con los bancos afectados y espera que ellos notificarán a los clientes que están infectados.
Sinowal permanece dormido en la máquina hasta que un usuario dirige su navegador a un sitio de un banco u otra institución financiera. Entonces un motor de inyección HTML agrega campos en la página de ingreso del sitio para pedirle a la víctima que ingrese el número de seguro social, contraseñas y otras credenciales. Una vez ingresadas, la información es transmitida a un servidor bajo el control de los autores del malware. El mecanismo de inyección es activado por más de 2.700 direcciones web distintas.
Se sabe poco sobre el grupo responsable del Sinowal, pero al menos una pista sugiere que el grupo pertenece a Rusia: mientras el troyano apunta a instituciones en docenas de países en Norteamérica, Europa, Asia [y Latinoamerica], ninguno es de Rusia.
Fuente: http://www.theregister.co.uk/2008/10/31/sinowal_trojan_heist/
No hay comentarios:
Publicar un comentario