Shylock: un malware que roba datos de las cuentas bancarias

Escrito por Adrián Crespo
Seguridad
4

A pesar de que tanto los expertos como las empresas de seguridad lo daban ya por desaparecido y fuera de actividad, el resurgimiento de este virus ha sorprendido a muchos. Aunque no es de extrañar que lo hayan rescatado del olvido, sobre todo por la cantidad de usuarios que hacen uso de los servicios de banca a través de internet. Shylock es capaz de evadir cualquier análisis de un programa malware en condiciones normales y la única forma de comprobar si estás infectado es observando los procesos activos.

Los expertos afirman que el virus sigue extendiéndose utilizando los métodos de los que ya hacía uso antes de desaparecer el año pasado, es decir, alojado en páginas web y esperando que el usuario visitase esa página para instalarse en el equipo.

Una vez se encuentra en el ordenador, éste se instala y una vez lo ha hecho, borra cualquier tipo de huella que lo pueda delatar frente a un programa para eliminar malware o antivirus. Una vez hecho ésto, en la siguiente reanudación del equipo, el proceso residirá en memoria de forma permanente.

No puede ser detectado en máquinas virtuales

Ésto suele ser lo normal para analizar el comportamiento de las amenazas. Sin embargo, el virus tiene una funcionalidad que después de haberse instalado, es capaz de saber si se encuentra en un sistema de escritorio o en una máquina virtual, por lo tanto, en el caso de encontrarse en una máquina virtual, suspende todo tipo de actividad para evitar ser descubierto y así analizar su comportamiento.

Inyectar código en el navegador web

Una vez en el equipo, Shylock inyecta código propio en el navegador web y así poder controlar las navegación del usuario, además de poder robar los datos que el usuario utilice en formularios.

De momento no existe una herramienta para eliminarlo, por lo que las empresas y expertos en seguridad recomiendan tener precaución con los programas que se instalan en el equipo.

Artículos de interés:

Fuente | The Hackers News


Continúa leyendo
  • sipero

    Si pero que es lo que tenemos que observar en los procesos activos para saber si estamos infectados?, un poco mas de informacion no vendria nada mal.

    • tampoco han dado muchos más detalles, porque no se sabe su comportamiento exactamente ya que no se ha podido analizar, por lo que no se sabe ni siquiera el número de procesos. Generalmente suelen ser procesos con nombres raros y que tienen un gran uso de RAM, esa sería la información que se da hasta el momento.

      Si no hemos puesto más es que ni siquiera las compañías especializadas han sido capaces de dar más datos

  • franmat20

    “No puede ser detectado en máquinas virtuales”

    Los laboratorios serios no usan soluciones tipo VMWare, VirtualBox, etc. En ESET teníamos una máquina “virtual” creada por los ingenieros de la firma, que consistía en una máquina real controlada y monitorizada con software y hardware externo.
    Todos los malware “anti-máquinas virtuales” que pasaron fueron analizados sin ningún problema.

    Tengo que consultarlo pero si no me equivoco ESET ya detecta su primera versión (hay dos o tres) como una variante de Kryptik(IZ) -otro malware con el mismo propósito, quizás del mismo creador-.

  • Pingback: Shylock: un malware que roba datos de las cuentas bancarias()