Malware al alcance de cualquiera: filtran el código fuente del troyano Carberp

Una de las amenazas que más difusión ha tenido en los últimos años (especialmente en Rusia y otros países del este de Europa) ha sido la familia del malware Carberp. Este malware, activo desde 2009, está especializado en el robo de dinero desde sistemas de banca online. Para ello se apoderaba de las contraseñas utilizadas por los usuarios de los sistemas infectados, aunque también realizaba otra serie de funciones habituales en las botnets e incluso tuvo una variante para dispositivos Android.

En las últimas semanas ha habido bastante revuelo con respecto a este troyano debido primero a la puesta en venta de su código fuente y, posteriormente, a su filtración completa de forma gratuita. Al parecer, los primeros intentos de venta de este código se produjeron a finales del mes pasado o a principios de este, cuando empezaron a aparecer usuarios en los foros donde se comercia con este tipo de malware vendiendo binarios de Carberp que habían sido compilados utilizando el código fuente original.

Parecía claro entonces que el código fuente de este troyano había salido a la venta, a un precio que algunas fuentes establecen en alrededor de los 50.000 dólares. Esto limitaba bastante su distribución ya que se trata de una cantidad considerable de dinero. A finales de la semana pasada, no obstante, empezaron a publicarse en esos mismos foros enlaces de descarga del código fuente de Carberp almacenado en un fichero comprimido con contraseña de 1.88 Gigabytes de tamaño. No pasó mucho tiempo hasta que esa contraseña se hizo pública, y el pasado lunes ya se podía encontrar tanto el fichero comprimido como su contraseña de forma relativamente fácil.

Ahora mismo, cualquiera con un poco de investigación puede encontrar el enlace de descarga a este código fuente con su correspondiente contraseña y tener una de las herramientas más utilizadas por los ciberdelincuentes en los últimos años en su disco duro.

Una historia similar sucedió con otro malware de características parecidas, como es Zeus. Su código fuente también se filtró hace más de dos años y esto ocasionó que muchos ciberdelincuentes que no se podían permitir pagar el elevado precio de este malware pudieran acceder a una poderosa herramienta para realizar sus actividades criminales en la Red. De hecho, no hace mucho comentábamos cómo se había observado un resurgir de las botnets basadas en Zeus durante los primeros meses de 2013.

Este tipo de malware suele integrarse en los kits de crimeware y su difusión de forma gratuita no hará sino extender la utilización más allá de los territorios en los que ahora actuaba de forma principal.

Han sido varios los grupos que han estado utilizando las diferentes variantes de Carberp a lo largo de los años, siendo uno de los últimos desmantelado el pasado mes de diciembre en una operación contra el cibercrimen realizada por las autoridades rusas. Esto, sin embargo, no provocó un descenso en el uso de este malware, pero sí que pudo ser un incentivo para que el que tuviera el código fuente en sus manos se deshiciera de él y obtener así una suculenta cantidad de dinero.

Con este cambio drástico de la situación, es muy probable que veamos una multitud de variaciones de Carberp en los próximos meses, tal y como sucedió con Zeus, por lo que deberemos estar alerta. Por suerte, las operaciones contra este tipo de malware se han intensificado en los últimos años y no son pocas las actuaciones que se vienen realizando para luchar contra esta forma de cibercrimen.

A nosotros, como usuarios, nos toca estar prevenidos para evitar caer en las múltiples trampas que, seguramente, van a tendernos en forma de enlaces sospechosos o ficheros adjuntos al correo. Para conseguirlo, desde este blog iremos informando de cualquier novedad al respecto de este tema y así conseguir disfrutar de nuestros ordenadores y dispositivos sin temor a resultar infectados.

Josep Albors