Detectan troyano contra usuarios de PGP

Maarten Van Horenbeeck narra hoy en SANS ISC un interesante hallazgo: un ejemplar de malware que no detectan la mayor parte de los antivirus y que llegó camuflado en un fichero de ayuda de Windows (extensión CHM).

Una vez infectada la máquina, el troyano se conecta a un servidor de Hong Kong, desde donde descarga un ejecutable que se encarga de la segunda fase del ataque. En ésta se realiza la conexión a un segundo servidor, que responde con datos codificados en BASE64. Una vez decodificados, su contenido es el siguiente:

netmgetr usb:*.doc
netmgetr usb:*.pkr
netmgetr usb:*.skr
netlsr usb:*.*

La función de netmgetr es revisar el sistema en busca de los ficheros cuyas extensiones se explicitan (entre ellos los anillos de claves públicas y secretas de cifrado PGP).
Pero, ¿de qué sirve una clave secreta sin su frase-contraseña? No hay problema..
Para resolver la cuestión se acompaña de un keylogger, que se encarga de registrar las pulsaciones del teclado, obteniendo posiblemente la contraseña que desbloquea la clave secreta.
Van Horenbeeck reconoce no haber comprobado este último extremo, aunque afirma que la meta del atacante parece ser realizar un análisis del tráfico cifrado del usuario, es decir, averiguar con quién intercambia éste mensajes cifrados.
¿Quién puede poner en circulación un troyano semejante? Teorías conspirativas al margen, el incidente demuestra que nadie se molesta en romper el cifrado de PGP atacando sus algoritmos, sino obteniendo las claves «in the wild», algo que por otra parte es absolutamente lógico. Se conoce como «ley del mínimo esfuerzo» y resulta muy atractiva (y muy peligrosa) en todos los órdenes de la vida.

SANS ISC