Hand of Thief, un troyano bancario para Linux con “muchas posibilidades"

[darkmantk]

¿Quién dijo que Linux no avanzaba? Domina el mercado móvil, el de los superordenadores, los servidores… y ahora incluso los ciberdelincuentes se fijan en él para crear y distribuir porquería. Así nace Hand of Thief (“la mano del ladrón”), un troyano bancario calificado de momento como rudimentario comparado con sus equivalentes para Windows, pero con muchas posibilidades, según algunos expertos en seguridad.

Hand of Thief ha sido probado con éxito en 15 distribuciones GNU/Linux diferentes entre las que destacan Ubuntu, Fedora o Debian. Asimismo, el malware tiene “soporte” para hasta ocho entornos, incluyendo los dos grandes, GNOME y KDE. Entre sus funcionalidades está el robo de cookies o la recopilación de datos del equipo y la sesión de navegación, independientemente de si se utiliza conexión cifrada (HTTPS) o no.
Para rematar, Hand of Thief es capaz de funcionar en Firefox y Chrome, además de en casi cualquier otro navegador web de los disponibles en Linux. Pero eso no es todo, porque una vez el equipo ha sido infectado, el troyano bloquea el acceso a sitios web que ofrezcan actualizaciones de seguridad o software antimalware. Lo que no queda claro es cómo logra infectar a sus víctimas (hablan de enlaces, pero no se especifica una vía o vulnerabilidad concreta).

Hand of Thief es un desarrollo ruso que se vende como si de un software al uso se tratase, por 2.000 dólares, instrucciones, herramientas y actualizaciones gratuitas incluidas. De hecho, la fuente de la noticia, Limor Kessem de RSA, ha obtenido toda esta información hablando directamente con el “agente de ventas” de Hand of Thief.

La experta califica el precio de excesivo en relación a la oferta existente para el sistema de Microsoft, lo que puede ahuyentar a la mayoría de interesados: en Windows es más barato y hay muchos más peces para pescar. Por contra, aunque es prácticamente imposible de cuantificar, la sensación que desprende el usuario medio de Linux es la de “pasar olímpicamente” de soluciones de seguridad, mucho menos si éstas son software privativo, lo que en cierta medida lo deja desprotegido ante ‘inconvenientes’ como esta mano del ladrón.
Ya comentamos aquí en MuySeguridad que los antivirus en Linux son cuestión de cortesía, pero también de coherencia. Pues bien, parece que la cosa va a más.

Actualización: Hemos pasado por alto mencionar que el método “concreto” utilizado para infectar es el conocido como form grabbing.

Via | MuySeguridad

 

[xmgz]

gracias por la info, pero

.........so no es todo, porque una vez el equipo ha sido infectado, el troyano bloquea el acceso a sitios web que ofrezcan actualizaciones de seguridad o software antimalware. Lo que no queda claro es cómo logra infectar a sus víctimas (hablan de enlaces, pero no se especifica una vía o vulnerabilidad concreta).

eso es lo importante, cómo coj*nes puede llegar a instalarse en el equipo? es un plugin del navegador? alguien instalaría, le daría permiso, a esto de forma consciente?

Actualización: Hemos pasado por alto mencionar que el método “concreto” utilizado para infectar es el conocido como form grabbing.

Via | MuySeguridad

"infectar" no creo que sea la palabra adecuada, en todo caso form grabbing sería la forma en que este software intercepta tu datos de conexión y claves de acceso.

Esto no lo digo por tí darkmantk, pues has copiado/pegado, si no por la redacción de la noticia.

 

[milytres]

Alguien dijo que la mejor arma del diablo es hacernos creer que no existe.
Saludos.

 

[darkmantk]

Alguien dijo que la mejor arma del diablo es hacernos creer que no existe.
Saludos.

Malware para Linux siempre ha habido como en todos los sistemas operativos.

La cosa está en las diferencias de poder infectarse en uno u otro.

Por ejemplo en windows es relativamente fácil puesto que hasta hace 3 versiones de windows no habia que ejecutar las aplicaciones con privilegios de administrador. Y ahora aunque tiene este sistema sigue siendo mas vulnerable con respecto a Linux ya que en windows solamente tienes que decirle que si quieres ejecutarlo como administrador, en Linux has de dar tú conscientemente la contraseña del usuario root.

Otro de los motivos es que la cuota de mercado de Linux es inmensamente inferior con respecto a Windows y por eso no se le ha echado tanta cuenta.

El ejemplo mas sencillo lo tienes con Android en los moviles, Android es un sistema operativo basado en el kernel de Linux y cada dia salen montones de aplicaciones malware para este. A ello se le suma que como es un SO muy usado y la cuota de mercado se la lleva este pues es mas llamativo para los ciberdelincuentes porque tienen mas pastel para recoger. Tambien google no está haciendo ningun esfuerzo por mejorar la seguridad de este SO y es por eso que es un SO muy vulnerable porque no se trabaja constantemente en tapar agujeros de seguridad.

Linux tiene una inmensa comunidad y lo bueno que tiene es que cuando se detecta una vulnerabilidad o amenaza enseguida se extiende la noticia y los programadores se ponen a parchearla.

Toda aplicación, sistema operativo, etc... tiene vulnerabilidades y cuanta mas gente lo use mas intentos de ataques tendrá para vulnerarlo. Simplemente piensa que si un ciberdelincuente quiere piratearte el sistema lo conseguirá por muy bueno que seas porque llegará el momento en que cometas un error por bajar lo guardia o despistarte y entonces será cuando lo aproveche.

Otra cosa a tener en cuenta es que muchos programas usan el llamado ingeniera social que es que el mismo usuario instale el malware sin saberlo. El usuario es la mayor vulnerabilidad de todo sistema o programa ya que como he denunciado muchas veces desgraciadamente la sociedad ni las empresas de software se han molestado en intentar concienciar y educar al usuario.

Un ejemplo muy claro es que hay miles de cursos que enseñan a la gente a manejar un PC y a navegar por internet, muchas de estas personas son personas mayores y la finalidad del curso es lo que te digo enseñar a navegar o a manejarte minimamente por windows. Pero ninguno se dedica a explicarles y a concienciarles a los peligros que se pueden encontrar en la red y a recomendarles ciertas cosas para aumentar la seguridad de sus equipos y de ellos.

No hace mucho se descubrió 1 extensión para firefox y chrome que robaba la contraseña de facebook y da igual que sea el SO Linux, Windows, MacOS, etc... porque es una extensión y aqui el SO era lo de menos.

 

[darkmantk]

gracias por la info, pero

.........so no es todo, porque una vez el equipo ha sido infectado, el troyano bloquea el acceso a sitios web que ofrezcan actualizaciones de seguridad o software antimalware. Lo que no queda claro es cómo logra infectar a sus víctimas (hablan de enlaces, pero no se especifica una vía o vulnerabilidad concreta).

eso es lo importante, cómo coj*nes puede llegar a instalarse en el equipo? es un plugin del navegador? alguien instalaría, le daría permiso, a esto de forma consciente?

Actualización: Hemos pasado por alto mencionar que el método “concreto” utilizado para infectar es el conocido como form grabbing.

Via | MuySeguridad

"infectar" no creo que sea la palabra adecuada, en todo caso form grabbing sería la forma en que este software intercepta tu datos de conexión y claves de acceso.

Esto no lo digo por tí darkmantk, pues has copiado/pegado, si no por la redacción de la noticia.

Por lo que he llegado a leer yo, se vé que por el momento se usa ingeniera social y phising, pero se comenta que están trabajando en buscar otras formas de infección. También he leido que se salta los SandBox como son SELinux o apparmor.

Y si como dices no es el método de infectar sino la forma en como actua, ya sabes que es lo que tiene el copiar y pegar de algunos sitios. Pero vaya grandes rasgos es un tipo de keylogger que usa el sistema de interceptar las peticiones POST y GET de los navegadores.

Lo que si sé tambien porque lo he leido es que se ha reportado a Linus Torvalds a ver si se puede conseguir estudiar a este troyano y parchear la vulnerabilidad que usa. Veremos cuanto se tarda en descubrir como actua el troyano y cuanto se tarda en parchear la vulnerabilidad de la que hace uso (si es que usa alguna vulnerabilidad).

De todas formas se recomienda tener actualizado siempre el SO, tener un firewall activo, instalar aplicaciones de los repositorios oficiales, no visitar webs raras ni añadir repositorios raros.