Los clientes de 24 grandes instituciones financieras están siendo atacados actualmente por los ciberdelincuentes con la ayuda del troyano Caphaw, mejor conocido como Shylock. El malware está diseñado para robar credenciales bancarias de los propietarios de dispositivos infectados.
Los investigadores de seguridad de Zscaler han estado monitorizando los ataques y averiguaron que la lista de bancos afectados incluye al Banco de Escocia, First Citizens Bank, Barclays Bank, Bank of America, Co-operative Bank, Chase, Comerica, Harris Bank, Regions, Intesa Sanpaolo, SunTrust, US Bancorp y Wells Fargo.
Los expertos no están 100% seguros cómo se distribuye el malware, pero sospechan que los ciberdelincuentes están utilizando un kit de explotación que aprovecha vulnerabilidades de Java para difundir la amenaza.
Una vez que esté instalado en un ordenador, Shylock empieza a infiltrarse en procesos legítimos en un esfuerzo por evitar ser detectado por las soluciones de seguridad.
Otro truco utilizado por los ciberdelincuentes para mantener sus operaciones en funcionamiento implica el uso de un algoritmo de generación de dominios (DGA) que les permite generar un gran número de nombres de dominio cuasi-aleatorios.
Estos dominios son utilizados como servidores de comando y control (C&C) desde los cuales el troyano recibe instrucciones. Al utilizar un DGA, los atacantes hacen que sea más difícil que los organismos policiales interrumpan la infraestructura de C&C.
Shylock utiliza tráfico cifrado SSL para las comunicaciones entre los hosts infectados y diversos componentes de la infraestructura de C&C.
En lo que concierne al malware, Shylock está desarrollado en Microsoft Visual C++. Se infiltra en el sistema infectado en una carpeta y bajo un nombre que se selecciona cuasi-aleatoriamente.
Para asegurarse de que sea persistente, la amenaza crea algunas entradas de registro.
Antes de entrar en juego, Shylock comprueba si se está ejecutando en un entorno de máquina virtual y si está disponible una conexión a Internet. Si se detecta una VM o si no hay ninguna conexión a Internet, la amenaza deja de funcionar.
http://news.softpedia.es/El-troyano-Shylock-es-utilizado-para-atacar-a-los-clientes-de-24-bancos-importantes-384337.html