Algunos ensayos de expertos en seguridad ya describían una pieza malware escondida en una imagen en PDF. Tarde o temprano los ciberdelincuentes comenzarían a explotar este recurso y todo parece indicar que el momento ha llegado y ya tenemos el primer nombre: Stegoloader.
También conocido como Win32/Gatak.DR o TSPY_GATAK.GTK, este
virus se encontró en un primer momento en el año 2013 pero no le dio la
suficiente importancia, ya que el nivel de usuario afectados por él era muy
poco representativo. Sin embargo, los resultados obtenidos en la última semana
han obligado a varias empresas de seguridad a publicar un comunicado en el que
se detalla todo lo relacionado con esta nueva forma de infectar los equipos.
Y es que esta nueva vía permite a las amenazas informáticas
llegar a los equipos de los usuarios de una forma mucho más sencilla y sin que
algunas herramientas de seguridad utilizadas por los usuarios sean capaces de
detectarlos. Además este malware es capaz de
detectar si el equipo posee o no una herramienta de seguridad en función del
comportamiento del cursor del usuario y ayudándose de una descarga de un
ejecutable que posteriormente abrirá para determinar el tipo de herramienta y
la capacidad de análisis, enviando esta información posteriormente a un
servidor donde se añadirá a la ya recopilada.
Stegoloader permite:
instalar otros virus informáticos, robar contraseñas, descargar
historiales
- Cuando
ha realizad la comprobación anterior, el software malicioso procede a
descargar un segundo archivo de imagen que contiene el módulo principal y
encargado de realizar las tareas. Robar contraseñas de las aplicaciones,
enviar a un servidor historiales de navegación o descargar e instalar más
amenazas son algunas de las tareas que desempeña. Tampoco nos podemos
olvidar de la función que permite inhibir la actividad del malware si
detecta la presencia de una herramienta de seguridad en ejecución o bien
un fallo en la comunicación con el servidor, esperando hasta que las
condiciones sean las adecuadas.
