tecnologia - MalwareTech MalwareTech
viernes 04 de agosto de 2017

Cómo funciona Kronos, el malware por el que arrestaron al "héroe" que detuvo a WannaCry

El experto en seguridad informática, Marcus Hutchins, conocido por haber encontrado la manera de detener la expansión del ransomware WannaCry- el malware que en mayo último afectó a 150 países al encriptar archivos y pedir dinero por su liberación-, fue detenido por el FBI estadounidense acusado de la creación en 2014 de un tipo de software malicioso llamado Kronos que roba contraseñas bancarias.


Este joven británico, también conocido en Internet como MalwareTech, creó en apariencia un troyano -tipo de malware- bancario que se introduce en el equipo a través de archivos adjuntos fraudulentos en correos electrónicos y trabaja de manera oculta recopilando datos crediticios de los usuarios.

Kronos fue denunciado por primera vez en julio de 2014, cuando fue detectado en un foro de cibercrimen ruso, en el que se vendía por la asombrosa suma de 7000 dólares, ya que incluía actualizaciones gratuitas y correcciones de posibles fallos.

Según relató hoy la BBC, ese alto precio llamó la atención de muchos investigadores de seguridad, "ya que este tipo de virus se venden por cientos, y no por miles de dólares".

Los creadores de Kronos afirmaban que podía robar credenciales de sesiones de navegación en Internet Explorer, Firefox y Chrome usando lo que se conoce como "recuperación de formularios", una alternativa más sofisticada que los programas espía.

Además, el hecho de que fuera compatible con las "inyecciones web" de Zeus -uno de los malware más famosos de la historia- facilitaba la tarea a la hora de robar información personal.

En 2015, el software malicioso había sido detectado en ataques a sitios web de bancos británicos e indios y en 2016 la firma de ciberseguridad Proofpoint informó que se había usado para atacar a clientes de instituciones financieras canadienses.

Hutchins, cobró fama mundial durante el ataque de WannaCry cuando encontró que el código de ese ransomware dirigía a un sitio de Internet que, de ser activado, podía detener las infecciones.

"Pude conseguir una muestra del malware con la ayuda de un buen amigo y compañero investigador. Al ejecutarlo en mi entorno de análisis supe que llamaba a un dominio no registrado que finalizaba en 'gwea.com'", detalló hace algunos meses.
Fuente: Télam

Más Leídas