No cabe duda que realizar transacciones bancarias o compras son una gran ventaja que la web nos provee hoy, a todos los usuarios. Sin embargo, los delincuentes no son ajenos a este hecho y buscan sacar provecho de estos mismo recursos.

En estos días se hizo eco en los medios de comunicación, una nueva botnet denominada Feodo. Este troyano tiene una gran repercusión por la peligrosidad de sus características que posee, ya que se trata de un troyano bancario el cual puede grabar los datos sensibles del usuario como las credenciales de acceso bancarias, tarjetas y otros servicios adicionales como Paypal o Amazon.

Las características más relevantes que posee el troyano son:

  • Cuando la víctima ingresa al sitio de la banca online y antes de realizar la trasmisión de datos por HTTPS, este guarda los mismos en texto plano que luego son recopilados y enviados al atacante.
  • Otra función interesante de este malware es que puede interceptar los contenidos originales de los servicios web e inyectar su propio código HTML pudiendo pedir a la victima datos adicionales al contenido original de la página, como por ejemplo un código de transferencia.
  • También posee la característica de robar las sesiones de las páginas visitadas pudiendo saber los distintos tipos de servicios que tiene la víctima.

Una vez infectada la víctima, este se inyecta en el proceso de Windows “explorer.exe” el cual luego tiene la capacidad de auto propagarse mediante dispositivos extraíbles, teniendo características muy similares a otros tipos de troyanos bot como los ya conocidos Zeus y SpyEye.

Una vez que el sistema está infectado, los sitios a los cuales reporta el troyano tienen el siguiente formato: http://[ELIMINADO].ru/wbc/avg/index.php. En la siguiente imagen pueden ver una captura del tráfico saliente de un equipo zombi mientras reporta al centro de comando y control de la botnet:

Feodo, una nuevo botnet en la web

Además, el malware crea una copia del mismo archivo infectado con el siguiente nombre: %System%svrwsc.exe. Además, crea un servicio con el nombre svrwsc.exe:

Alerta de Second Life

Recuerden que para que su equipo no se convierta en un zombi, y sea parte de una botnet, la principal barrera de protección es no infectarse, y para ello nada mejor que utilizar una solución antivirus como ESET NOD32, que en este caso detecta la amenaza mencionada como una variante de Win32/Injector.DIL.

Estaremos investigando sobre esta nueva amenaza que está surgiendo, y los mantendremos informados por este blog si existen nuevos vectores de ataque o campañas de infección.

Claudio Cortés Cid
Especialista de Awareness & Research