Normalmente estamos acostumbrados a que este tipo de virus afecte de forma directa a los usuarios, que son el eslabón más débil de la cadena, o forman parte de lo que puede ser considerado más débil en lo referido a seguridad. Sin embargo, expertos en seguridad de la compañía Symantec han detectado un troyano, que ya ha sido bautizado como Stabuniq, que se instala en los servidores y equipos de las principales entidades bancarias.
Desde Symantec apuntan que de momento sólo se han visto afectados entidades bancarias repartidas por Estados Unidos y algunos bancos de Europa del Este. Sin embargo, también apuntan que el caso estadounidense, también está afectando a instituciones financieras del Gobierno con el fin de ampliar su rango de alcance. De momento han sido detectadas 50 direcciones IP infectadas con el troyano y que pertenecen a instituciones financieras y bancos prácticamente en su totalidad, por lo que estiman que el troyano esté preparando una forma para conseguir una expansión mayor y conseguir llegar a otros bancos. Podéis visitar nuestro tutorial sobre administrar tarjetas en Chrome.
La duda que aparece entre los expertos de Symantec es si el destino final serán los usuarios, algo que de momento no han sabido aclarar por el comportamiento de la amenaza.
¿Cómo ha llegado a los bancos?
Parece ser que todo se ha originado con un envío masivo de correos electrónicos con contenido phishing basado en un enlace que redirgía al usuario a una página web que poseía un exploit. Gracias al exploit, el troyano era capaz de llegar hasta el ordenador e infectarlo. Es probable que el troyano llegue camuflado en forma de actualización falsa de Adobe Flash Player o de Adobe Reader.
De momento, han conseguido detectar que el troyano recopila información del equipo en el que ha sido instalado, reportando a un servidor remoto el tipo de sistema operativo, la versión, los programas instalado en el equipos, el software de seguridad que ha sido detectado y la carpeta de archivos temporales del equipo.
En otros casos también se ha visto como el historial de navegación del usuario era también volcado al servidor remoto.
¿Qué recomendaciones podrían tomar los usuarios?
En primer lugar, desde Symantec recomiendan que para hacer frente a Stabuniq y defenderse de él es necesario disponer de un cortafuegos que bloquee cualquier tipo de conexión entrante en el equipo y que no esté autorizada. En segundo lugar, recomiendan que las aplicaciones y actualizaciones que se instalen, lo hagan con el menos grado de permisos posible, es decir, si se requiere permisos de administrados del sistema puede ser indicativo de una posible infección en forma de malware.