jueves, 5 de septiembre de 2013

El troyano de Linux "Hand of Thief" no funciona

Hace unas semanas, los investigadores de RSA revelaron la existencia de un troyano bancario destinado a Linux apodado "Hand of Thief" (Mano de ladrón). El malware fue lanzado a la venta en julio en los foros clandestinos rusos.

Después de un análisis más detallado de la amenaza, los expertos de RSA han determinado que hay mucho más trabajo que hacer antes de que “Hand of Thief" pueda ser considerado un troyano bancario viable comercialmente.

El malware incluye un constructor que permite a los botmasters generar nuevas variantes. Esto hace de “Hand of Thief" un malware comercial.

Sin embargo, cuando se trata de lo que realmente es capaz de hacer, los expertos han descubierto que no está listo para inyecciones web.

El desarrollador afirma que está en las etapas finales de la implementación de un mecanismo para inyecciones web. Sin embargo, el sistema responsable de agarrar formularios no funciona en los navegadores web presuntamente soportados, así que es muy probable que las inyecciones tampoco funcionen.

Los expertos de RSA han probado el troyano en dos equipos: uno configurado para ejecutar Fedora 19 con Firefox y Chrome, y otro configurado para ejecutar Ubuntu 12.04 con Firefox.

En la primera configuración, las funciones non-navegador como descargar y ejecutar, socks server, self-remove, bind shell y reverse shell parecen estar funcionando correctamente. Sin embargo, cuando se trata de las funciones del navegador, las cosas son muy diferentes.

En la mayoría de los casos, el malware hace que el navegador se bloquee o se congele.

En Firefox, el troyano captura sólo las solicitudes vacías. En Chrome, logra capturar la información, pero no la filtra en absoluto.

"Esto significa que el malware capturó todas las solicitudes individuales desde el navegador de forma muy genérica (incluso enviando las páginas de drop zone que fueron consultadas como parte de una sesión). Agarrar peticiones de esta manera atestará rápidamente el servidor con datos inútiles", señaló el investigador sénior de seguridad Christian Gottesman en una entrada de blog.

En la segunda máquina de prueba, un mecanismo de protección predeterminado llamado "ptrace scope" impidió que la amenaza se adjuntara a los procesos. Si el mecanismo de protección está desactivado, el troyano causa el bloqueo o el cierre del navegador.

Cuando logra capturar datos, no es capaz de enviarlos con éxito al servidor.