De acuerdo a una investigación realizada por RSA, un grupo de cibercriminales está comercializando un troyano diseñado para el sistema operativo Linux. Dependiendo del “éxito” de este código malicioso y las nuevas características (variantes) que se vayan desarrollando, RSA infiere que el precio de la amenaza podría ascender a $3.000 dólares y las posteriores actualizaciones a $550 dólares.

Denominado por los cibercriminales como “Hand of Thief” (Mano del Ladrón), este troyano posee la capacidad de robar información introducida por usuarios en formularios web (sitios bancarios, redes sociales, correo, etc.), convertir el equipo Linux en zombi, cifrar la comunicación entre el C&C (Centro de Comando y Control), dificultar métodos de análisis de malware (virtualización, debugger, entre otros) y de ejecutar archivos provenientes de ubicaciones remotas. En base a un seguimiento realizado por el Laboratorio de Investigación de ESET Latinoamérica se pudo encontrar un foro en ruso en donde se comercializa este malware. Al final de este párrafo se muestra una captura de las características del troyano escritas por quienes venden la amenaza (el texto ha sido traducido al español utilizando el traductor de Google). De acuerdo a los responsables, por el momento el malware tiene un valor de $2.000 dólares y las actualizaciones $150 dólares. Asimismo el uso de la amenaza está sujeto a los “términos de licencia” impuestos por los atacantes, y que tal derecho puede ser revocado en caso de no cumplirse lo establecido. También aprovechan la ocasión para afirmar que no se hacen responsables por el mal uso que se le pueda dar al troyano (hacer clic en la imagen para agrandarla):

Características del troyano (chico)

Si se lee detalladamente la captura de pantalla, es posible leer que los responsables de este troyano planean desarrollar una variante capaz de afectar a plataformas Linux de 64 bits. Este tipo de evolución también se ha observado en amenazas como Win64/Expiro que pese a ser un malware para Windows, también afecta ediciones de 64 bits. De hecho, México y Perú son los países de América Latina más afectados por amenazas diseñadas para 64 bits. Siguiendo con el hilo de dicha conversación, también se pudo apreciar cómo un interesado en el malware le pregunta a otro miembro (Manos de Ladrón) si él es el autor y este le responde sin inconvenientes que sí (hacer clic en la imagen para agrandarla):

Reconocimiento de autoría (chico)

En el foro también se pudo observar a varios miembros consultando sobre otras características del malware, sin embargo, los responsables se limitaban a contestar que ese tipo de preguntas deben canalizarse a través de “soporte”. Vale la pena destacar que resulta curioso que los cibercriminales estén desarrollando un troyano para usuarios finales de Linux. En otras ocasiones se han observado amenazas como Linux/Cdorked y Linux/Chapro. Ambas están diseñadas para este sistema operativo, sin embargo, el objetivo es comprometer servidores web y no sistemas de usuarios finales. Este aspecto resulta lógico considerando que muchos servidores utilizan Linux, no obstante, el hecho de que los cibercriminales ahora se estén enfocando en otro segmento de esta plataforma resulta inusual si se considera que la cantidad de usuarios finales es considerablemente menor que en Windows.

Uno de los motivos tras esta decisión podría deberse a que muchos usuarios finales que usan Linux subestiman las medidas de seguridad por considerar que están más protegidos en comparación a sus pares de Windows. Más allá que la cantidad de amenazas para Linux es considerablemente menor que para Windows, los atacantes podrían aprovechar ese pensamiento para manipular a las potenciales víctimas mediante Ingeniería Social. Se debe recordar que cualquier computador es susceptible de ser atacado por ciberdelincuentes. Por lo mismo, instalar una solución de seguridad y adoptar los resguardos necesarios como evitar descargar programas de fuentes no confiables y no seguir enlaces sospechosos, son medidas válidas para cualquier persona que utilice dispositivos informáticos independiente del sistema operativo instalado.

Actualización 11/07/2013: una investigación posterior realizada por RSA determinó que si bien el troyano "Hand of Thief" es una amenaza real, sus funcionalidades son limitadas. Algunas características explicitadas por sus autores como la posibilidad de robar información de formularios web, la inyección de código, entre otras, no están correctamente implementadas, por lo mismo, y salvo que los cibercriminales actualicen este troyano, es poco probable que los usuarios finales de Linux se vean afectados por dicho código malicioso.

André Goujon
Especialista de Awareness & Research