BitDefender alertó sobre una nueva amenaza de un troyano, describiendo la amenaza como “un serio enemigo†que podrÃa ser utilizado como una herramienta de espionaje industrial para las compañÃas.
Se trata del troyano Trojan.Spy.YEK, el cual puede recopilar y robar los datos crÃticos y los archivos que contienen información privada almacenada en los equipos. Los investigadores de malware de BitDefender, Doina Cosovan y Octavian Minea lo catalogan como altamente peligroso debido a sus propiedades de robo de datos de identidad aprovechando el componente de puerta trasera.
Utilizando una plantilla de librerÃa dll encriptada, este troyano es interpretado como librerÃa de Windows y guardado en el directorio Windowssystem32
etconf32.dll. Una vez inyectado en el navegador explorer.exe, no hay forma de evitar que habilite la conexión (cuando lo crea necesario) para fijar un par de puntos de encuentro con el atacante, destacan los investigadores.
etconf32.dll. Una vez inyectado en el navegador explorer.exe, no hay forma de evitar que habilite la conexión (cuando lo crea necesario) para fijar un par de puntos de encuentro con el atacante, destacan los investigadores.
El componente de puerta trasera permite registrar al código como un servicio para recibir y seguir las instrucciones de un comando o centro de control, mientras que el componente de software espÃa recopila datos acerca de los archivos y del sistema operativo, con posibilidad incluso de hacer capturas de pantalla de los procesos en curso.
Algunos de los comandos de Trojan.Spy.YEK responden a diferentes ejecuciones: El envÃo de los archivos recopilados mediante una petición GET; el envÃo de información sobre el sistema operativo y la computadora; capturas de pantalla y envÃo de resultados; y por último, una lista de los procesos que se ejecutan en el sistema.
Los investigadores destacan haber detectado que “el troyano carga todos los datos de interés en un servidor FTP sin el consentimiento del usuario, al que acceden posteriormente para recoger la informaciónâ€.
El troyano ha sido catalogado como sospechoso de espionaje industrial, como sucediera recientemente con el gusano Stuxnet, debido a que está vinculado a archivos de correo electrónico con extensiones (.Eml y Dbx), libretas de direcciones de bases de datos (.Wab), y documentos del tipo (.Doc, .Odt, y .Pdf).
