Las versiones se suceden y los usuarios tienen que hacer frente a cada vez más amenazas. Los ciberdelincuentes tienen una clara ventaja, y es que la gran cantidad de muestras permite crear híbridos, como es el caso del que nos ocupa y que ha recibido el nombre de Bolik. Este troyano bancario es considerado el sucesor de Zeus y de Carberp aunque tiene alguna que otra particularidad.
Tal y como suele suceder en otras ocasiones, esta amenaza está diseñada para robar las credenciales de acceso de los servicios bancarios. Muchas funcionalidades se han heredado de Zeus y Carberp, aunque hay que decir que existen algunas que son una novedad, como es el caso de la forma de distribución. Mientras los que se consideran sus padres utilizan correos electrónicos spam, en el caso del troyano bancario que nos ocupa esto cambia radicalmente y utiliza los equipos infectados para infectar los archivos del sistema operativo y así expandirse haciendo uso de las direcciones de correo existentes o bien aprovechar la conexión de unidades USB para replicarse en ellas.
La amenaza está programada para afectar a sistemas operativos Windows tanto de 32 como de 64 bits y en un principio su información está cifrada para evitar posibles análisis.
Bolik previene el análisis de herramientas de seguridad
La funcionalidad citada con anterioridad (el estado de cifrado inicial) sirve para evitar que las herramientas de seguridad y los expertos del sector puedan llevar a cabo el análisis del virus y así obtener todas o la mayor parte de sus características. De esta forma, cuando el instalador llega al equipo, realiza esta comprobación y toma una decisión. En el caso de que no haya detectado la actividad de ninguna herramienta de seguridad o máquina virtual solicita al servidor de controla la clave para llevar a cabo el descifrado y proceder a la instalación. En caso contrario el proceso se detiene y la parte crítica del ejecutable queda inaccesible.
Proxy o keylogger para llevar a cabo el robo de la información
En este aspecto no han reinventado la rueda y podría decirse que el comportamiento es el esperado. Por un lado se hace uso de un servidor proxy que se configura en el navegador web y que permite controlar la navegación del usuario y redirigirla a páginas falsas. Pero además de este, los ciberdelincuentes cuentan con la ayuda de un keylogger que permite recopilar toda la información introducida a través del teclado.
Fuente | MalwareTips