Los troyanos bancarios acostumbran a afectar sobre todo a los usuarios particulares, intentando robar las credenciales de acceso al servicio y secuestrar las cuentas. Sin embargo, Shifu, la nueva amenaza que han detectado en Internet los ingenieros de IBM, está afectando principalmente a los equipos de las entidades bancarias.
Lo que comenzó siendo un ataque centrado sobre tierras niponas, ahora se ha convertido en un problema para entidades bancarias de todo el mundo. El malware está diseñado para afectar a equipos Windows y los ciberdelincuentes se han centrado en afectar a los equipos existentes en las oficinas de las entidades, considerados muchas veces por los expertos en seguridad como el eslabón más débil, ya que los usuarios no poseen conocimientos de seguridad informática y con mucho más fáciles de infectar, ya que en muchas ocasiones no están equipados con una herramienta de seguridad adecuada o correctamente configurada. Podéis visitar nuestro tutorial sobre evitar filtraciones de tarjetas en Chrome.
La versión más básica de este troyano se trata de una mezcla de las funcionalidades de otros: keylogger, RAT, falsificador de certificados SSL, monitorización del equipo y así hasta completar una larga lista. Por lo tanto, para ser la versión básica es bastante completa y permite a los ciberdelincuentes muchas posibilidades, sobre todo en lo referido a la recopilación de datos.
Shifu hace uso de un servidor Apache local para robar los datos
Los investigadores de IBM han analizado de forma minuciosa una copia de este troyano y han observado que si este se ejecuta en una máquina virtual no se atisba ningún tipo de actividad por parte del mismo.
Sin embargo, si se instala en un sistema Windows lo primero que hace es replicar parte de su código en procesos legítimos del sistema operativo, garantizando de esta forma su ejecución sin ningún tipo de problema. Pero esto no es lo más destacable, ya que el malware posee un servidor Apache propio que es utilizado para llevar a cabo ataques y así robar los datos de los usuarios sin que este sea consciente.
El origen podría ser Rusia
También se ha comprobado que el virus establece comunicaciones con servidores de control ubicados en Rusia, lo que hace pensar que el origen de este no sea Japón, sino más bien este país. Y es que si nos paramos a pensar, cada vez son más las amenazas que tienen como origen tierras rusas.