Luego del robo de direcciones de correo, lamentablemente en nuestro Laboratorio nos seguimos encontrando con este tipo de aplicaciones. Las mismas son creadas para facilitar la tarea del robo de información a personas que no tienen el conocimiento necesario para hacer sus propias herramientas.

En este caso se trata de un troyano con un cliente y un servidor que permite el robo de contraseñas de usuarios de Windows Live Messenger. El programa permite la generación de un servidor que se crea como sigue:

Servidor del troyano

Una vez creado este archivo server.exe, el mismo es enviado a la víctima, generalmente utilizando alguna técnica de Ingeniería Social, para lograr que lo ejecute en su sistema.

Cuando la víctima ejecuta el archivo, el atacante verá una pantalla como la siguiente, indicando la conexión desde el sistema afectado:

Cliente del troyano

Cuando la víctima ingresa el nombre de usuario y contraseña de su cuenta de Windows Live Messenger, la información será enviada y el atacante dispondrá de ella:

Robo de contraseñas

Este caso demuestra tres puntos muy importantes:

  • utilizar un Antivirus que detecte la amenaza
  • utilizar un Firewall que detecte las posibles conexiones no autorizadas de este tipo de aplicaciones
  • la educación necesaria para no aceptar archivos que, mediante un engaño, alguien puede ofrecernos con malas intenciones.

Este troyano es detectado por ESET NOD32 como un Password Stealer llamado PSW.Delf.NLJ. Además las conexiones desde el sistema afectado serán detectadas por el Firewall de ESET Smart Security.

Cristian