PWOBot, un keylogger programado en Python que además mina criptomonedas

Share this…

De nuevo una amenaza de la que informar y en esta ocasión lo tenemos que hacer de una que está programada en Python. Se trata de un keylogger capaz de recopilar las pulsaciones y enviarlas a un servidor remoto, además de ampliar sus funciones gracias a su estructura modular. Estamos hablando de PWOBot y aún no hemos dicho todo sobre esta amenaza.

De entrada hay que decir que las infecciones se suceden desde el pasado año y por norma general los propietarios de la amenaza buscan afectar a equipos que se encuentren en empresas. Al ser Python su lenguaje de programación, la cantidad de equipos que pueden afectar es mucho mayor, ya que no solo se limita a Windows, también puede alcanzar Linux e incluso aquellos que posean el sistema operativo de sobremesa de los de Cupertino o incluso BSD y Solaris.

Ya hemos comentado que se trata de un software capaz de almacenar todas las pulsaciones de teclado realizadas, sin embargo, esta no es la única opción que se debe tener en cuenta. Teniendo en cuenta su arquitectura modular, la amenaza puede ampliar su funcionalidad gracias a las aplicaciones remotas que podría recibir. Sin ir más lejos, el virus informático también es capaz de utilizar los sistemas infectados para minar criptomonedas, concretamente Bitcoin, tal y como han apuntado algunos expertos en seguridad.

Estos han añadido que en algunos sistemas se ha detectado un alto uso de la CPU y GPU, correspondiendo con la actividad que acabamos de mencionar.

PWOBot protegido gracias a Tor

Para dificultar un poco más la detección del servidor de control remoto y evitar que las autoridades corten las alas a los ataques haciendo uso de esta amenaza, sus propietarios ya han encontrado una solución y ha sido recurrir a la red Tor y el envío de la información cifrada. Lo segundo no resulta tan extraño y lo primero comienza a ser una constante desde hace algún tiempo.

Otras funciones a tener en cuenta es la existencia de un módulo que se encarga de comprobar si existen actualizaciones contra una dirección IP encontrada en el código y la capacidad para ejecutar un servidor web, desconociendo exactamente cuál es la finalidad real, aunque hay expertos que creen que los equipos infectados podrían alojarse para distribuir ejecutables y páginas web falsas.

Añaden que la amenaza se detectó por primera vez el año 2013 y que hasta el pasado año ha hibernado, permaneciendo prácticamente inactiva.

Fuente:https://www.redeszone.net/