Terdot, un troyano complejo en el ciberespacio

Yago Gómez Trenor - Analista de Seguridad de Vintegris

Yago Gómez Trenor – Analista de Seguridad de Vintegris

Terdot, el conocido troyano bancario se distribuye principalmente a través de sitios web comprometidos con SunDown Exploit Kit, pero algunos investigadores también observaron que llegaba a un correo electrónico malicioso con un botón falso de ícono PDF.

Si hace clic, ejecuta un código JavaScript ofuscado que descarga y ejecuta el archivo de malware.

Para evitar la detección, el troyano utiliza una compleja cadena de cuentagotas, inyecciones y descargadores que permiten la descarga de Terdot en pedazos.

Una vez infectado, el troyano se inyecta en el proceso del navegador para dirigir las conexiones a su propio proxy web, leer el tráfico e inyectar spyware.

También puede robar información de autenticación inspeccionando las solicitudes de la víctima o inyectando código de spyware Javascript en las respuestas.

Terdot también puede eludir las restricciones impuestas por TLS (Transport Layer Security) al generar su propia Certificate Authority (CA) y generar certificados para cada dominio que visita la víctima.

Cualquier información que las víctimas envíen a un banco o a una cuenta de redes sociales podría ser interceptada y modificada por Terdot en tiempo real, lo que también podría permitir que se propague mediante el envío de enlaces falsos a otras cuentas de redes sociales.

Terdot es un malware complejo, basado en el legado de Zeus, sus capacidades son admirables desde el punto de vista de ingeniería de software.

Su enfoque en recolectar credenciales para otros servicios como redes sociales y servicios de correo electrónico podría convertirlo en una herramienta de ciberespionaje extremadamente poderosa que es extremadamente difícil de detectar y limpiar.

Diferentes grupos de investigadores han estado rastreando la nueva variante del troyano bancario Terdot desde que resurgió en octubre del año pasado.

Tal como hemos reiterado en muchas notas publicadas en “Comunidad Vintegris”, la complejización del cibercrimen, obliga a contar con herramientas cada vez más efectivas en la administración de identidades y certificados digitales.

 

Por Yago Gómez Trenor – Analista de Seguridad de Vintegris