Así opera Saefko, el nuevo troyano que apunta a datos de tarjetas de crédito y criptobilleteras

by | Aug 11, 2019 | Seguridad y estafas

  • Un malware con diversas funciones de rastreo
  • En busca de datos bancarios y de criptoactivos
  • Los correos de phishing son el principal medio de ataque

Los investigadores de seguridad informática Zscaler ThreatLabZ han detectado un nuevo troyano que se distribuye en la Dark Web e incluye habilidades para robar datos bancarios, claves de acceso de juegos en línea y wallets de criptomonedas.

En su informe, los expertos dijeron que el malware, llamado Saefko, fue desarrollado a través del lenguaje de programación .NET, y cuenta con diversas funciones maliciosas que lo convierten en un arma poderosa dentro del gran panorama actual de amenazas informáticas.

¿Cómo opera Saefko?

Al ser un troyano de acceso remoto (RAT, por sus siglas en inglés), Saefko utiliza diversos métodos para infiltrarse en una red, incluidos los archivos maliciosos adjuntos a través de correos de phishing, y las descargas no autorizadas e impulsadas por software malicioso.

Una vez el ordenador ha sido infectado con Sefko, sus operadores o hackers tienen la capacidad de administrar diversos sistemas operativos, como Windows y Android. Una vez descargado el malware, cuyo archivo lleva por nombre saefkoagent.exe, se descomprime y genera una credencial de inicio de sesión para preservar su persistencia en el sistema. De esta forma, cada vez que se reinicia la máquina, el proceso malicioso detrás del troyano vuelve a iniciarse.

Saefko tiene la capacidad de verificar la conexión a Internet del usuario, y posteriormente se dirigirá al navegador Google Chrome para espiar el historial de navegación y enlistar los objetivos más favorables para dirigir los robos de información. En este sentido, el troyano busca sitios web bancarios, compras en tiendas minoristas, juegos, sitios de redes sociales y plataformas de criptoactivos.

Entre otras actividades, el troyano busca los sitios de criptomonedas que el usuario ha visitado para validar si es necesario comprometerlo, y luego aplica una función oculta de actualización para manejar a su antojo la infraestructura y completar el robo de criptoactivos mediante una segunda instalación de código.

Los investigadores afirmaron que los criptousuarios deben estar muy atentos, ya que es prácticamente imposible recuperar los activos robados una vez que el malware infecta sus sistemas. La principal recomendación es tener mucho cuidado con los archivos que se descargan de Internet, especialmente los que llegan a la bandeja de entrada del correo electrónico personal.

MÁS ARTÍCULOS

MÁS ARTÍCULOS