PandaLabs ha detectado la aparición del nuevo troyano Briz.F, diseñado para robar datos relacionados con servicios bancarios y que, para instalarse en los equipos, utiliza como reclamo páginas pornográficas de todo tipo que se encuentran disponibles en la Red.
La aparición de Briz.F es una consecuencia de la trama de venta y creación de troyanos personalizados Briz. Según Luis Corrons, director de PandaLabs: las características de Briz.F indican que, o bien el autor de la trama ha decidido tratar de obtener dinero modificando el troyano original, o que ha conseguido crear una nueva trama de creación y venta de códigos maliciosos.
Las páginas en las que se aloja Briz.F están diseñadas para descargar de forma automática el código malicioso en los ordenadores de los usuarios que las visitan, aprovechando distintas vulnerabilidades de software. Sin embargo, tampoco debe descartarse la posibilidad de tener un encuentro con dicho troyano a través de otros medios, como pueden ser mensajes de correo electrónico, archivos descargados desde Internet, redes para compartir archivos P2P, etc.
La forma de actuar de Briz.F es compleja y muy elaborada. El ataque comienza con la instalación de un archivo llamado iexplore.exe, que tiene como misión preparar el terreno, detectando si existe conexión a Internet. En caso positivo, se conecta a cierta página web para descargar otro archivo llamado ieschedule.exe. Por último, iexplore.exe desactiva los servicios de Windows Security Center y el acceso compartido a Internet.
Tras ello, ieschedule.exe envía los datos del equipo infectado (nombre, dirección IP, zona geográfica, etc.) a una dirección predeterminada por el atacante. Al mismo tiempo, descarga otros archivos, entre los que se encuentra smss.exe, que modifica el archivo hosts para impedir el acceso a sitios webs relacionados con productos de seguridad, e ieredir.exe, que redirige al usuario hacia falsas páginas web cuando intenta conectarse a determinados servicios online, principalmente relacionados con entidades bancarias. Además, el troyano recoge información de Protected Storage de Windows, así como de los programas de correo electrónico Outlook, Eudora y The Bat, enviándola después al atacante.
Hay que destacar que muchos de los archivos que el troyano instala en el sistema se autodestruyen una vez llevadas a cabo sus acciones, lo que puede dificultar al usuario saber si ha sido víctima o no del ataque de Briz.F.
