Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
06/02/2014
En diciembre, los investigadores de seguridad de la firma antivirus Kaspersky Lab descubrieron un troyano bancario basado en Tor conocido como "Chewbacca". Inicialmente fue clasificado como un troyano financiero, pero recientemente los investigadores de seguridad en RSA han descubierto que Chewbacca también es capaz de robar detalles de tarjetas de crédito de los sistemas de punto de venta.
Chewbacca, un troyano privado relativamente nuevo, empleado en 11 países como un malware para POS que está detrás del robo electrónico. ChewBacca se comunica con su servidor C&C (Mando y Control) sobre la red de Tor ocultando las partes de la dirección IP.
El código roba datos de los sistemas de POS de dos formas:
La botnet ha recolectado datos de pago por ambos procesos desde octubre 25, de acuerdo con RSA.
Durante la instalación, ChewBacca crea una copia de sí mismo como un archivo llamado spoolsv.exe y se coloca en la carpeta de inicio de Windows, por lo que puede iniciarse automáticamente al iniciar sesión. Después de la instalación, el keylogger crea un archivo llamado system.log dentro de la carpeta system%temp% que contiene los eventos de tecleo junto con los cambios de enfoque de ventana.
Ni RSA ni Kaspersky explican cómo se propaga Chewbacca, pero la investigación de RSA lo ha localizado mayoritariamente en Estados Unidos y en otros diez países, incluyendo a Rusia, Canadá y Australia. RSA ha proporcionado datos al FBI sobre la operación Chewbacca, incluyendo la ubicación de un servidor C&C usado por los hackers.