Variante del troyano Gozi integrado a un rootkit

Una nueva variante del troyano bancario Gozi infectó miles de máquinas en los Estados Unidos, buscó atacar el master boot record (MBR) de los usuarios de Internet Explorer.

Los investigadores de seguridad de la firma Trusteer revelaron que un rootkit, una característica poco encontrada en malware financiero, fue empacado con la última versión de Gozi. En una entrada de blog el pasado jueves, Etay Maor, investigador de Trusteer, explicó que el rootkit es particularmente difícil de extraer.

“Debido a su ubicación estratégica en el núcleo del sistema operativo, los rootkit son difíciles de identificar y eliminar”, escribió Maor. También mencionó que Gozi, incrustado en el rootkit, se ubica silenciosamente en el MBR esperando a que Internet Explorer se inicie. Una vez que el navegador está corriendo, el troyano se auto inyecta en el navegador de la víctima y puede robar información financiera que el usuario usa en los sitios que navega.

El lunes en entrevista, Yishay Yovel, Vicepresidente  de Marketing de Trusteer, dijo al sitio SCMagazine.com que la firma detectó a lo mucho un par de miles de infecciones de esta variante en los Estados Unidos. Yovel dijo que, a pesar de que los líderes del grupo responsable del malware fueron atrapados por las autoridades federales, la campaña continúa.

En 2010, Nikita Kuzmin, el presunto creador de Gozi, fue arrestado en los Estados Unidos, seguido por Deniss Calovskis, quien presuntamente escribió partes del código del troyano. El arresto de Calovskis fue en el mes de noviembre en Lituania.

Desde que Gozi apareció por primera vez en 2005, los fiscales federales estiman que infectó al menos 100 mil computadoras alrededor del mundo, incluyendo 25 mil en los Estados Unidos, causando pérdidas por decenas de millones de dólares. “Existía la esperanza de que Gozi declinara con los arrestos, pero ahora estamos viendo su evolución”, dijo Yovel.

Al atacar los medios de distribución el malware se mantuvo igual, dijo, con autores que usan infección por descarga o correos electrónicos de phishing para engañar a los usuarios a instalar documentos como armas que contienen el troyano.

Para solucionar la infección de Gozi, los investigadores de Trusteer recomiendan a los usuarios hacer un formateo completo del disco duro, reinstalar el sistema operativo e implementar soluciones de seguridad en la empresa, dando prioridad a la actualización de sus credenciales de banca en línea.

Vía: SC Magazine

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s