La aplicación maliciosa es un miembro de la familia de troyanos bancarios Trojan.PWS.Ibank, que roban contraseñas introducidas por los usuarios e información confidencial. Doctor Web aclara que el malware aún no ha llevado a cabo acción destructiva alguna contra el software de SAP.
La compañía de antivirus rusa Doctor Web está advirtiendo los usuarios acerca de un programa malicioso que ataca el software empresarial de SAP, y que pertenece a la familia de troyanos bancarios Trojan.PWS.Ibank.
En comparación con otros programas maliciosos de la familia Trojan.PWS.Ibank, esta variante presenta la arquitectura modificada de un bot, sus rutinas IPC (Comunicación Entre Procesos) han sido modificadas, y sus subrutinas SOCKS5 se han eliminado, mientras que la rutina de cifrado interno del troyano se mantiene sin cambios. Al igual que otros programas Trojan.PWS.Ibank, la carga útil del malware está empaquetada en una librería de enlace dinámico separada, y utiliza el mismo protocolo para comunicarse con el servidor de comando y control de los atacantes.
El instalador del troyano puede detectar si se está lanzando en una máquina virtual, y si se está ejecutando bajo Sandboxie. El troyano funciona en las versiones de 32 bits y 64 bits de Windows y utiliza diferentes métodos para comprometer diferentes plataformas. El módulo principal del troyano puede ejecutar dos comandos nuevos, uno de los cuales activa y desactiva la función que bloquea el funcionamiento del software del cliente bancario, mientras que el otro se utiliza para proporcionar al programa un archivo de configuración desde el servidor de comando y control.
La versión actualizada también tiene rutinas adicionales para verificar los nombres de las aplicaciones en ejecución, incluidos los programas SAP. La suite SAP incorpora numerosos componentes para gestionar los impuestos, las ventas, y, por lo tanto, maneja grandes volúmenes de información sensible. La primera versión del troyano, que comprueba la disponibilidad del software SAP en un sistema infectado, se estaba extendiendo ya en verano, que se añadió a la base de datos de virus de Dr.Web como Trojan.PWS.Ibank.690. La última modificación del malware es Trojan.PWS.Ibank.752.
Investigadores de Doctor Web señalan que, si bien los troyanos de la familia Trojan.PWS.Ibank aún no han iniciado ninguna acción destructiva con el software SAP, es posible que sus autores tengan la intención de realizar el daño potencial muy pronto.
Francisco Carrasco, CIO America Latina