El año pasado, un troyano conocido como Pony robó más de 2 millones de contraseñas en servicios como Facebook, Gmail y Twitter. La amenaza, también denominada Fareit, es detectada por ESET como Win32/PSW.Fareit y envía las credenciales robadas a un servidor remoto.
Hace poco tiempo, este troyano que también se ha utilizado para propagar Zeus y Cryptolocker, fue rediseñado para robar billeteras virtuales. Esto no es del todo sorprendente si tenemos en cuenta que el código fuente de Pony Loader 2.0 había sido puesto en venta en mayo de este año.
Las billeteras que esta amenaza tiene como blanco incluyen a Bitcoin, Litecoin, MultiBit, Namecoin, Terracoin, Primecoin, Feathercoin, NovaCoin, MegaCoin, Digitalcoin, Zetacoin, Fastcoin, Tagcoin, Bytecoin, Florincoin, and Luckycoin, y muchas otras figuran en el listado publicado por investigadores de seguridad de Damballa.
Pony Loader 2.0 mantiene su capacidad para robar contraseñas y propagar otros tipos de malware, y contiene una lista de palabras que se utilizan para ejecutar ataques de fuerza bruta en cuentas de usuarios, según la publicación de Damballa. Estas palabras fueron tomadas de listados publicados anteriormente luego de ataques a diversos servicios, y se agregaron las siguientes:
1234567890
administrator
Administrator
billgates
gates
gfhjkm
ghbdtn
guest
Guest
helpassistant
HelpAssistant
mustdie
windows
Se cree que los comerciantes del código malicioso son de Rusia, y que están ofreciendo funcionalidades adicionales relacionadas a mejoras en la recolección de credenciales.
El troyano puede infectar a los usuarios a través de enlaces maliciosos en correos electrónicos o exploit kits, por lo que les recomendamos estar alertas para no caer víctimas de esta amenaza. La recomendación de Bitcoin es actualizar a las versiones más recientes del cliente, que incorporan un sistema para cifrar con contraseña las claves privadas contenidas en el monedero.