Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
12/08/2013
Hand of Thief, un troyano bancario para Linux con “muchas posibilidades"
¿Quién dijo que Linux no avanzaba? Domina el mercado móvil, el de los superordenadores, los servidores… y ahora incluso los ciberdelincuentes se fijan en él para crear y distribuir porquería.
Así nace Hand of Thief (“la mano del ladrón”), un troyano bancario calificado de momento como rudimentario comparado con sus equivalentes para Windows, pero con muchas posibilidades, según algunos expertos en seguridad.
Hand of Thief ha sido probado con éxito en 15 distribuciones GNU/Linux diferentes entre las que destacan Ubuntu, Fedora o Debian. Asimismo, el malware tiene “soporte” para hasta ocho entornos, incluyendo los dos grandes, GNOME y KDE. Entre sus funcionalidades está el robo de cookies o la recopilación de datos del equipo y la sesión de navegación, independientemente de si se utiliza conexión cifrada (HTTPS) o no.
Para rematar, Hand of Thief es capaz de funcionar en Firefox y Chrome, además de en casi cualquier otro navegador web de los disponibles en Linux. Pero eso no es todo, porque una vez el equipo ha sido infectado, el troyano bloquea el acceso a sitios web que ofrezcan actualizaciones de seguridad o software antimalware. Lo que no queda claro es cómo logra infectar a sus víctimas (hablan de enlaces, pero no se especifica una vía o vulnerabilidad concreta).
Hand of Thief es un desarrollo ruso que se vende como si de un software al uso se tratase, por 2.000 dólares, instrucciones, herramientas y actualizaciones gratuitas incluidas. De hecho, la fuente de la noticia, Limor Kessem de RSA, ha obtenido toda esta información hablando directamente con el “agente de ventas” de Hand of Thief.
La experta califica el precio de excesivo en relación a la oferta existente para el sistema de Microsoft, lo que puede ahuyentar a la mayoría de interesados: en Windows es más barato y hay muchos más peces para pescar. Por contra, aunque es prácticamente imposible de cuantificar, la sensación que desprende el usuario medio de Linux es la de “pasar olímpicamente” de soluciones de seguridad, mucho menos si éstas son software privativo, lo que en cierta medida lo deja desprotegido ante ‘inconvenientes’ como esta mano del ladrón.
Ya comentamos aquí en MuySeguridad que los antivirus en Linux son cuestión de cortesía, pero también de coherencia. Pues bien, parece que la cosa va a más.
Actualización: Hemos pasado por alto mencionar que el método “concreto” utilizado para infectar es el conocido como form grabbing.