Therat.B, peligroso ladrón de contraseñas

- Además, contiene funciones de keylogger para registrar las pulsaciones del teclado y conseguir todo tipo de información confidencial

PandaLabs ha informado sobre el nuevo troyano Therat.B. Se trata de un código malicioso que está diseñado para robar todo tipo de contraseñas. Incluso, y para mayor peligrosidad, tiene la capacidad de robar las contraseñas que estén almacenadas en la función “autocompletar” del navegador de Internet del usuario.

La función “autocompletar” es la que permite que, tecleando tan sólo uno o dos caracteres de los logins o contraseñas, aparezca el resto de forma automática en los formularios de acceso a los servicios de Internet más utilizados por el usuario.

Para robar esa información, Therat.B accede a una entrada del registro de Windows donde se registra dicha información. Aunque la misma se encuentra cifrada, existen aplicaciones diseñadas para descifrarlas.

Además de ello, Therat.B tiene funcionalidad de keylogger. Es decir, registra todas las pulsaciones que el usuario realiza sobre el teclado, de manera que entre los mismos puedan encontrarse datos de interés para el delicuente: nombres de usuario, contraseñas, números de cuentas bancarias o tarjetas de crédito, PINs, etc.

“Es un ejemplo más de cómo los ciberdelincuentes unen diversas funcionalidades en un solo código malicioso para rentabilizar al máximo cada infección que provocan. En este caso, se ha unido la función de keylogger con la de robar información almacenada en ciertos lugares del ordenador. Con ello, se aseguran de que en cada ataque exitoso conseguirán, al menos, algun dato confidencial”, afirma Luis corrons, Director Técnico de PandaLabs.

Una vez instalado en el ordenador, el troyano crea diversos archivos en el directorio de sistema de Windows. Entre ellos pueden mencionarse SOCKETIME.EXE que es una copia del troyano, o 32THERAT.LOG, en el que almacena la información robada. La misma es finalmente enviada al delincuente a una dirección de correo electrónico predeterminada.

Therat.B también modifica una entrada del Registro de Windows con el objetivo de ejecutarse cada vez que se reinicia el ordenador.

Este troyano no está diseñado para propagarse por sus propios medios, sino que necesita de la intervención de un usuario malicioso para ello. Así, puede ser encontrado en mensajes de correo electrónico de todo tipo, en archivos descargados de Internet o redes P2P, etc.

Todos aquellos usuarios que deseen comprobar si su ordenador ha sido afectado por estos u otros códigos maliciosos pueden hacer uso, de manera completamente gratuita, de la solución online Panda TotalScan.

También pueden hacer uso de NanoScan beta, un escáner online que detecta todo el malware activo en un ordenador en menos de un minuto.

Más información sobre estas u otras amenazas informáticas en la Enciclopedia de Panda Software.