Troyano acecha, esperando robar contraseñas de administrador

Escritores de un El programa troyano para robar contraseñas ha descubierto que un poco de paciencia puede provocar muchas infecciones.

Han logrado infectar cientos de miles de computadoras, incluidas más de 14,000 dentro de una cadena hotelera global sin nombre, esperando administradores de sistemas para iniciar sesión en PC infectadas y luego usar una herramienta de administración de Microsoft para difundir su software malicioso a través de la red.

Los delincuentes detrás del troyano Coreflood están usando el software para robar nombres de usuario y contraseñas bancarias y de corretaje. Han acumulado una base de datos de 50G de esta información de las máquinas que infectaron, según Joe Stewart, director de investigación de malware del proveedor de seguridad SecureWorks.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

"Se han podido difundir a lo largo de empresas enteras", dijo. "Eso es algo que rara vez se ve en estos días".

Desde que Microsoft envió su software Windows XP Service Pack 2 con sus características de seguridad bloqueadas, los hackers han tenido dificultades para encontrar formas de distribuir software malicioso a través de las redes corporativas. No obstante, los hackers de Coreflood han tenido éxito, gracias en parte a un programa de Microsoft llamado PsExec, que fue escrito para ayudar a los administradores de sistemas a ejecutar software legítimo en las computadoras a través de su red. redes.

Para una infección generalizada, los atacantes primero deben comprometer un sistema en la red engañando al usuario para que descargue su programa. Luego, cuando un administrador del sistema inicia sesión en esa máquina de escritorio, por ejemplo, para realizar el mantenimiento de rutina, el software malicioso intenta ejecutar PsExec e instalar malware en todos los demás sistemas de la red.

A menudo la técnica tiene éxito.

En los últimos 16 meses, los autores de Coreflood infectaron más de 378,000 computadoras. SecureWorks ha contado miles de infecciones en redes universitarias y ha encontrado compañías financieras, hospitales, firmas de abogados e incluso una agencia de policía estatal de EE. UU. Que ha tenido cientos de infecciones. "Es una locura la frecuencia con que están recibiendo cientos o miles de computadoras en una sola compañía", dijo Stewart. "Probablemente hayan robado muchas más cuentas de las que pueden usar".

El SANS Internet Storm Center informó una de las infecciones, que afectaron a 600 máquinas en una red de 3.000 PC, el 25 de junio.

Se usaron programas maliciosos PsExec por más de cinco años, dijo el creador del software, Mark Russinovich, un técnico de Microsoft. Sin embargo, esta es la primera vez que escuchó que se usa de esta manera. "PsExec no expone nada que un autor de malware no pueda codificar por sí mismo o incluso lograr con mecanismos alternativos", dijo en una entrevista por correo electrónico. "Una vez que tiene las credenciales que le otorgan los derechos de administrador local a través del acceso remoto, usted es el propietario de ese sistema".

Coreflood, que también se conoce como el troyano AFcore, existe desde hace unos seis años. Se ha utilizado en el pasado para cosas tales como el lanzamiento de ataques de denegación de servicio, pero no para robar contraseñas, dijo Stewart.