En 2011, los expertos de Kaspersky Lab detectaron la actividad de una banda de cibercriminales que utilizaba el troyano Lurk, un sofisticado malware multi-modular con muy variadas funcionalidades que permitía acceder a los dispositivos de las víctimas. En concreto, la banda tenía como objetivo buscar una vía de entrada a los servicios de banca remota con el fin de robar dinero de las cuentas de los usuarios.

Con el fin de propagar el malware, Lurk infectó varias webs legítimas con exploits, incluyendo páginas de medios de comunicación y noticias. Una víctima sólo tenía que visitar una de las páginas web comprometidas para ser infectada por el troyano Lurk. Una vez dentro del PC de la víctima, el malware descargaba módulos maliciosos adicionales que permitían robar el dinero de las víctimas. Las webs de medios de comunicación no fueron las únicas páginas no-financieras que atacó el grupo. Para ocultar sus huellas, también hackearon varias compañías de telecomunicaciones y de TI, utilizando sus servidores para permanecer ocultos.

El troyano Lurk tiene como particularidad que su código malicioso no se almacena en el dispositivo de la víctima, sino en la memoria RAM. Además, intentaron que su detección fuera lo más difícil posible, utilizando diferentes servicios de VPN, la red TOR, conexiones Wi-Fi ya comprometidas y servidores pertenecientes a las empresas de TI atacadas.

Desde Kaspersky Lab se recomienda a las empresas extremar sus medidas de seguridad y comprobar de forma regular su infraestructura de seguridad TI. De igual modo, las empresas necesitan implementar medidas de seguridad que les permitan detectar ataques dirigidos (APTs). En este sentido, la mejor estrategia es no solo mantener un enfoque de prevención, sino también la detección y la respuesta. Incluso la APT más sofisticada puede localizarse por su comportamiento anormal cuando se compara con el flujo de trabajo regular.

Fuente: muyseguridad