Un malware especializado en robar imágenes podría ser actualizado para ataques sofisticados

(Tomado de softpedia.es)

Código fuente del malware
Enlarge picture

La semana pasada, los investigadores de Trend Micro encontraron una pieza de malware diseñada para robar archivos de imagen de los ordenadores infectados y enviarlos a su maestro. Entretanto, otras empresas de seguridad también han analizado la amenaza y dicen que podría volver más tarde como parte de un ataque sofisticado.

El troyano está especializado en el robo de archivos .jpg, .jpeg y .dmp (volcado de memoria de Windows) y los sube a un servidor FTP cuya dirección está codificada en el malware.

El investigador Niranjan Jayanand de McAfee revela que podría haber dos razones por las que el elemento malicioso roba archivos .dmp.

Una de ellas podría ser el hecho de que los desarrolladores del malware han cometido un error al escribir el código. Quizás en realidad han querido recopilar archivos de imagen .bmp, pero debido al error de tipografía el troyano está recogiendo archivos .dmp.

La segunda variante es que esta es sólo la primera etapa de una futura amenaza sofisticada y la información de los archivos .dmp es utilizada para recopilar información acerca de las vulnerabilidades que afectan las máquinas de destino.

Por otra parte, los expertos de Sophos también han examinado la amenaza que ellos llaman Troj/PixSteal-A. Revelan que los ladrones podrían estar esperando obtener copias escaneadas de documentos confidenciales, como pasaportes o documentos empresariales.

Uno de los archivos encontrados en el servidor FTP en cuestión se llama “Google_Talk_1.0.0.104_121002-170904.dmp”. Los investigadores de Sophos Labs creen que los delincuentes están interesados en archivos de este tipo porque pueden contener conversaciones de mensajería instantánea.

En este caso, los expertos dan algunos consejos interesantes. Ellos hacen hincapié en el hecho de que el acceso al FTP se debe bloquear desde el cortafuegos.

“FTP debería haber muerto hace mucho tiempo y vosotros podéis ayudar. Simplemente negaos a utilizarlo. ¿El Host web requiere FTP para tu sitio web? Encuentra un nuevo host. Tu contraseña nunca debería ser transmitida en texto sin formato, por lo tanto, nunca deberías usar FTP”, explicó Chester Wisniewski de Sophos.

A partir del 5 de noviembre, el servidor FTP utilizado por el malware está inactivo.

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s