En los últimos días se ha hablado bastante de un código malicioso llamado Pony, detectado por las soluciones de ESET como Win32/PSW.Fareit, que afecta a usuarios de Windows y ha robado millones de credenciales de múltiples servicios como Facebook, Gmail, Twitter, etc.

Este código malicioso de tipo troyano afecta sistemas operativos Windows tanto de 32 como de 64 bits y de acuerdo a un análisis realizado por investigadores de Trustwave se ha enfocado en robar principalmente contraseñas de servicios como Gmail, Facebook, Twitter o Yahoo!. Después de que la víctima se ve infectada toda su información queda asociada en un sitio web desde el cual el atacante puede consultarla, ver estadísticas o incluso enviar comando para que los equipos infectados realicen ataques de denegación de servicio.

Los investigadores de Trustwave lograron acceder a algunos paneles de control, de los cuales se pudo identificar los principales navegadores afectados y las cuentas de servicios de correo electrónico y redes sociales de las cuales se lograron robar credenciales. Los navegadores más afectados son Firefox y Chrome, los servicios de correo electrónico Outlook y Windows Live Mail y los servicios Facebook y Yahoo!. En total se calculan unas 2 millones de contraseñas robadas. A continuación una captura de uno de los paneles de control:

http://blog.spiderlabs.com/2013/06/look-what-i-found-its-a-pony-1.html

Fuente: Trustwave

A pesar de ser un código malicioso que lleva más de un año en la web, la mayor cantidad de usuarios afectados está lejos de Latinoamérica: Holanda, Tailandia y Alemania aparecen dentro de los países más afectados. El país más cercano con mayor cantidad de usuarios afectados es Estados Unidos, aunque esto no quiere decir que los países latinoamericanos estén exentos de ser afectados, ya que en un corto plazo podrían empezar a incrementarse las detecciones en la región. Además de acuerdo a la investigación, el análisis de las direcciones IP utilizadas dan idea que se esté utilizando servidores proxy para hacer más difícil la detección de los C&C.

Fuente: Trustwave

Fuente: Trustwave

Tal vez uno de los puntos más curiosos con las contraseñas que fueron robadas es la poca complejidad al momento de construirlas. Combinaciones como 123456, 1234, admin o password aparecen dentro de las más utilizadas, lo cual nos recuerda que debemos tener presente utilizar una contraseña larga y segura. En la siguiente captura se ven las combinaciones más utilizadas:

Fuente: Trustwave

El crecimiento en la cantidad de detecciones a nivel mundial de este malware está relacionado con el hecho que recientemente el código fuente de la amenaza fue publicado. El año pasado cuando apareció era una amenaza que se vendía en el mercado negro, pero hoy en día la amenaza se encuentra en repositorios públicos,  lo cual facilita su propagación.

Para nuestros usuarios en la región, si bien aún no hemos detectado que se propague de forma importante, les recordamos que las soluciones de ESET detectan las diferentes variantes de este código malicioso como parte de la firma Win32/PSW.Fareit. Finalmente, además de contar con la protección de nuestras soluciones, es muy importante tener en cuenta el uso de contraseñas robustas y un segundo factor de autenticación para acceder a nuestros servicios en Internet, servicio que ya ofrecen la mayoría de los sitios de los cuales han sido robadas las contraseñas.

H. Camilo Gutiérrez Amaya
Especialista de Awareness & Research