Detalles sobre Carberp, software de robo de contraseñas bancarias

trás han quedado los tiempos en que las aplicaciones maliciosas eran diseñadas para realizar bromas o con fines más o menos lúdicos. La rápida evolución del panorama del malware ha llevado a una tendencia en la que el único objetivo de los creadores de malware es obtener dinero.

No nos equivoquemos sobre esto, el programa de 72Kb llamado Trojan.Downloader.Carberp.A tiene grandes efectos. Esto significa interceptar, manipular y robar la información confidencial que un usuario podía enviar o recibir por Internet, y lo que es más importante, roba las credenciales de acceso de sitios que requieren iniciar sesión (log-in) sobre una conexión SSL, como pueden ser servicios de banca online, proveedores de emails o cualquier otro tipo de servicios sujetos a autenticación.

Inicialmente diseñado para proteger a los usuarios de miradas indiscretas, las tecnologías SSL y HTTPS realmente marcan a los usuarios que acceden a esas conexiones como objetivos. Aparte de vigilar las conexiones SSL, este troyano está también diseñado para monitorizar una lista de webs que contienen varias direcciones de portales bancarios.

¿Cómo puedes infectarte?

Una vez ejecutado en un equipo, Trojan.Downloader.Carberp.A crea dos archivos temporales en la carpeta "temp", luego, se copia a sí mismo en la carpeta de Inicio de Windows para ejecutarse después de cada arranque o reinicio del sistema. Este diseño puede parecer básico comparado con el que usan otros ejemplares de malware que, por ejemplo, realizan nuevas entradas en el Registro de Windows, sin embargo, este sistema es el que permite a este troyano ejecutarse a sí mismo en sistemas operativos más nuevos o en las sesiones de usuarios que no cuentan con permisos de Administrador Justo después de infectar un equipo, el troyano se conecta a un servidor C&C, desde el que descargará un archivo cifrado, junto con nuevas funcionalidades como plug-ins. Estos permitirán a Trojan.Downloader.Carberp.A interceptar el tráfico de Internet y detener la actividad de los antivirus instalados en el equipo. A continuación, envía al servidor C&C una ID única para identificar el equipo y una lista actualizada de los procesos que están corriendo en el mismo.

Trojan.Downloader.Carberp.A oculta su presencia mediante el uso de una función en ntdll.dll para interceptar cualquier llamada a NtQueryDirectoryFile y ZwQueryDirectoryFile.

El objetivo de este troyano es doble:

• Por un lado cualquier conexión SSL como las que permiten acceder a banca online, redes sociales o al email podrían ser interceptadas y los datos confidenciales, robados. Desde el momento en que un usuario accede, el troyano roba las credenciales (usuario/contraseña) y las envía a un servidor C&C mediante una conexión HTTP. De momento, varios de esos datos ya han caído en manos de los atacantes.

• Por otro lado, Trojan.Downloader.Carberp.A también ataca a diversos bancos (en Alemania, Dinamarca, los Países Bajos, EE.UU. e Israel) siguiendo las instrucciones precisas que recibe desde el servidor de C & C, junto con las instrucciones de configuración. Este sofisticado enfoque al ya clásico man-in-the-browser, proporciona una herramienta muy lucrativa diseñada para robar dinero, especialmente a consumidores de servicios online y a PYMES.

Merece la pena mencionar la capacidad de este ejemplar de malware para instalarse sin necesidad de privilegios de administración, y su capacidad para atacar sistemas que cuentan con la última versión de sistemas operativos, así como el hecho de que no hace cambios en el Registro.