Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
06/02/2014
Al desembre, els investigadors de seguretat de la firma antivirus Kaspersky Lab van descobrir un troià bancari basat en Tor conegut com a "Chewbacca". Inicialment va ser classificat com un troià financer, però recentment els investigadors de seguretat en RSA han descobert que Chewbacca també és capaç de robar detalls de targetes de crèdit dels sistemes de punt de venda.
Chewbacca, un troià privat relativament nou, emprat en 11 països com un programari maliciós per a POS que està darrere del robatori electrònic. ChewBacca es comunica amb el seu servidor C&C (Comandament i Control) sobre la xarxa de Tor i oculta les parts de l'adreça IP.
El codi roba dades dels sistemes de POS de dos formes:
Keylogger genèric que captura tot el que tecleja.
Escàner de memòria que llig els processos en memòria i bolca els detalls de les targetes de crèdit.
La xarxa zombis (botnet) ha recol·lectat dades de pagament per ambdós processos des d’octubre 25, d’acord amb RSA.
Durant la instal·lació, ChewBacca crea una còpia de si mateix com un arxiu anomenat spoolsv.exe i es col·loca en la carpeta d’inici de Windows, per la qual cosa pot iniciar-se automàticament en iniciar sessió. Després de la instal·lació, l'enregistrador de teclat (keylogger) crea un arxiu anomenat system.log dins de la carpeta system%temp% que conté els esdeveniments de tecleig junt amb els canvis d’enfocament de finestra.
Ni RSA ni Kaspersky expliquen com es propaga Chewbacca, però la investigació de RSA l'ha localitzat majoritàriament als Estats Units i en altres deu països, incloent-hi a Rússia, Canadà i Austràlia. RSA ha proporcionat dades al FBI sobre l’operació Chewbacca, incloent-hi la ubicació d’un servidor C&C usat pels pirates.