Los ciberdelincuentes, gracias a la gran cantidad de muestras, les permiten crear híbridos, como es el caso del caso que nos ocupa, que ha recibido el nombre de Bolik. Este troyano bancario es considerado el sucesor de Zeus y de Carberp aunque tiene alguna que otra particularidad.
Tal y como suele suceder en otras ocasiones, esta amenaza está
diseñada para robar las credenciales de acceso de los servicios bancarios.
Muchas funcionalidades se han heredado de Zeus y Carberp, aunque hay que decir
que existen algunas que son una novedad, como es el caso de la forma de
distribución. Mientras los que se consideran sus padres utilizan correos
electrónicos spam, en el caso del troyano bancario que nos ocupa esto cambia
radicalmente y utiliza los equipos infectados para infectar los archivos del
sistema operativo y así expandirse haciendo uso de las direcciones de correo
existentes o bien aprovechar la conexión de unidades USB para replicarse en
ellas.
La amenaza está programada para afectar a sistemas operativos Windows tanto de 32 como de 64 bits y en un principio su información está cifrada para evitar posibles análisis.
Bolik previene el análisis de herramientas de seguridad
- La funcionalidad citada con anterioridad (el estado de cifrado inicial) sirve para evitar que las herramientas de seguridad y los expertos del sector puedan llevar a cabo el análisis del virus y así obtener todas o la mayor parte de sus características. De esta forma, cuando el instalador llega al equipo, realiza esta comprobación y toma una decisión. En el caso de que no haya detectado la actividad de ninguna herramienta de seguridad o máquina virtual solicita al servidor de controla la clave para llevar a cabo el descifrado y proceder a la instalación. En caso contrario el proceso se detiene y la parte crítica del ejecutable queda inaccesible.
- En este aspecto no han reinventado la rueda y podría decirse que el comportamiento es el esperado. Por un lado se hace uso de un servidor proxy que se configura en el navegador web y que permite controlar la navegación del usuario y redirigirla a páginas falsas. Pero además de este, los ciberdelincuentes cuentan con la ayuda de un keylogger que permite recopilar toda la información introducida a través del teclado.