Un vistazo al troyano Shylock/Caphaw

Hace poco, Kaspersky Lab contribuyó a una alianza entre autoridades gubernamentales y organizaciones de la industria para tomar las medidas debidas en contra de los dominios de Internet y servidores que forman el centro de una infraestructura cibercriminal avanzada que usa el troyano Shylock para atacar los sistemas de bancos en Internet de todo el mundo.

Shylock es un troyano bancario que se descubrió por primera vez en 2011. Utiliza ataques de intermediario en el navegador (man-in-the-browser) diseñados para robar las credenciales de acceso a cuentas de bancos desde los ordenadores de los clientes de una lista predeterminada de organizaciones. La mayoría de estas organizaciones son bancos ubicados en diferentes países.

Los productos Kaspersky Lab detectan el malware Shylock como Backdoor.Win32.Caphaw y Trojan-Spy.Win32.Shylock.

Detectamos este programa malicioso de forma genérica desde fines de agosto de 2011 como Backdoor.Win32.Bifrose.fly. La detección específica de esta familia en particular se agregó en febrero de 2012. Desde entonces, hemos detectado muy pocos ejemplares: alrededor de 24.000 intentos de infectar ordenadores protegidos por Kaspersky Lab en todo el mundo.

Son números muy modestos, en especial si se los compara con otros programas bancarios infames como ZeuS, SpyEye y Carberp, que han generado (y algunos de ellos, como ZeuS, siguen generando) decenas o cientos de miles de detecciones. Por supuesto, estas cifras no nos dicen todo sobre cuán expandido está Shylock o cuán efectivos son sus ataques, porque Kaspersky Lab “ve” sólo una parte de la cantidad total de usuarios, sólo a aquellos que usan nuestros productos.

Pero su baja popularidad no hace que Shylock sea menos peligroso. Las técnicas siniestras que utiliza no son menos peligrosas que las que emplean otros programas similares. Puede inyectar su cuerpo en múltiples procesos en ejecución, tiene herramientas que evitan la detección de programas antivirus, utiliza plugins que agregan funciones maliciosas adicionales para burlar los programas antivirus, recolecta contraseñas para servidores ftp, se propaga mediante servicios de mensajería y servidores, consigue acceso remoto al equipo infectado, puede grabar videos e inyectar sitios web.

Utiliza esta última función para robar las credenciales de acceso a cuentas bancarias por Internet inyectando campos de entrada falsos en la página web del navegador de su víctima.

En todo este periodo hemos visto dos picos relativamente altos en las tasas de detección de este malware.

El primero fue en noviembre de 2012 y el segundo en diciembre de 2013.

La distribución geográfica de los picos de noviembre 12 fue así:

La tabla de arriba muestra los 10 países en los que se registraron más ataques del programa Shylock. Poco más de un año después, en diciembre 2013, la imagen había dado un vuelco dramático.

Como se ve en estas tablas, los criminales responsables de este programa dejaron de prestar tanta atención a los mercados de monedas virtuales desarrollados del Reino Unido, Italia y Polonia para concentrarse en los que se están desarrollando de un modo más activo en Brasil, Rusia y Vietnam. También es interesante que ambos picos ocurrieron a finales de otoño y comienzos de invierno, una temporada donde las ventas suben en muchos países del mundo.

Datos de Europol indican que este programa ha infectado más de 30.000 ordenadores en todo el mundo. Es una escala que puede causar importantes daños financieros, por lo que el desmantelamiento de Shylock es una muy buena noticia.

Y, por si esto fuera poco, la operación reciente, coordinada por la Agencia de Crimen Nacional (NCA) del Reino Unido, unió a miembros del sector público y privado, incluyendo – además de Kaspersky Lab – a la EUROPOL, el FBI, BAE Systems Applied Intelligence, Dell SecureWorks y el Cuartel General de Comunicaciones del Gobierno (GCHQ) del Reino Unido para combatir juntos. Nosotros, en Kaspersky Lab, nos sentimos honrados de haber podido hacer una modesta contribución a esta operación. Las acciones globales traen resultados positivos, y la operación contra Shylock es un claro ejemplo de ello.