BitDefender alertó sobre una nueva amenaza de un troyano, describiendo la amenaza como “un serio enemigo” que podría ser utilizado como una herramienta de espionaje industrial para las compañías.
Se trata del troyano Trojan.Spy.YEK, el cual puede recopilar y robar los datos críticos y los archivos que contienen información privada almacenada en los equipos. Los investigadores de malware de BitDefender, Doina Cosovan y Octavian Minea lo catalogan como altamente peligroso debido a sus propiedades de robo de datos de identidad aprovechando el componente de puerta trasera.
Utilizando una plantilla de librería dll encriptada, este troyano es interpretado como librería de Windows y guardado en el directorio Windowssystem32
etconf32.dll. Una vez inyectado en el navegador explorer.exe, no hay forma de evitar que habilite la conexión (cuando lo crea necesario) para fijar un par de puntos de encuentro con el atacante, destacan los investigadores.
etconf32.dll. Una vez inyectado en el navegador explorer.exe, no hay forma de evitar que habilite la conexión (cuando lo crea necesario) para fijar un par de puntos de encuentro con el atacante, destacan los investigadores.
El componente de puerta trasera permite registrar al código como un servicio para recibir y seguir las instrucciones de un comando o centro de control, mientras que el componente de software espía recopila datos acerca de los archivos y del sistema operativo, con posibilidad incluso de hacer capturas de pantalla de los procesos en curso.
Algunos de los comandos de Trojan.Spy.YEK responden a diferentes ejecuciones: El envío de los archivos recopilados mediante una petición GET; el envío de información sobre el sistema operativo y la computadora; capturas de pantalla y envío de resultados; y por último, una lista de los procesos que se ejecutan en el sistema.
Los investigadores destacan haber detectado que “el troyano carga todos los datos de interés en un servidor FTP sin el consentimiento del usuario, al que acceden posteriormente para recoger la información”.
El troyano ha sido catalogado como sospechoso de espionaje industrial, como sucediera recientemente con el gusano Stuxnet, debido a que está vinculado a archivos de correo electrónico con extensiones (.Eml y Dbx), libretas de direcciones de bases de datos (.Wab), y documentos del tipo (.Doc, .Odt, y .Pdf).
