Torpig , también conocido como Anserin o Sinowal , es un tipo de botnet que se propaga a través de sistemas infectados por el rootkit Mebroot mediante una variedad de caballos de Troya con el fin de recopilar datos personales y corporativos confidenciales, como información de cuentas bancarias y tarjetas de crédito. Se dirige a computadoras que usan Microsoft Windows , reclutando una red de zombis para la botnet. Torpig elude el software antivirus mediante el uso de tecnología rootkit y escanea el sistema infectado en busca de credenciales, cuentas y contraseñas, además de permitir potencialmente a los atacantes acceso total a la computadora. También supuestamente es capaz de modificar datos en la computadora y puede realizar ataques de tipo man-in-the-browser .
En noviembre de 2008, se estimó que Torpig había robado los datos de alrededor de 500.000 cuentas bancarias en línea y tarjetas de crédito y débito y fue descrito como "uno de los programas maliciosos más avanzados jamás creados". [1]
Según se informa, Torpig comenzó a desarrollarse en 2005, evolucionando desde ese momento para evadir de manera más efectiva la detección por parte del sistema anfitrión y del software antivirus. [2]
A principios de 2009, un equipo de investigadores de seguridad de la Universidad de California, Santa Bárbara, tomó el control de la botnet durante diez días. Durante ese tiempo, extrajeron una cantidad sin precedentes (más de 70 GB ) de datos robados y redirigieron 1,2 millones de direcciones IP a su servidor privado de comando y control. El informe [3] detalla en detalle cómo opera la botnet. Durante los diez días que el equipo de investigación de la UCSB tomó el control de la botnet, Torpig pudo recuperar información de inicio de sesión de 8.310 cuentas en 410 instituciones diferentes y 1.660 números de tarjetas de crédito y débito únicos de víctimas en los EE. UU. (49 %), Italia (12 %), España (8 %) y otros 40 países, incluidas tarjetas de Visa (1.056), MasterCard (447), American Express (81), Maestro (36) y Discover (24). [4]
Al principio, gran parte de la propagación de Torpig se debía a correos electrónicos de phishing que engañaban a los usuarios para que instalaran el software malicioso. Los métodos de distribución más sofisticados desarrollados desde entonces utilizan anuncios de banner maliciosos que se aprovechan de vulnerabilidades encontradas en versiones obsoletas de Java , Adobe Acrobat Reader , Flash Player y Shockwave Player . Este método, que es un tipo de descarga automática , normalmente no requiere que el usuario haga clic en el anuncio y la descarga puede comenzar sin ninguna indicación visible después de que el anuncio malicioso reconozca la versión antigua del software y redirija el navegador al sitio de descarga de Torpig. Para completar su instalación en el registro de arranque maestro (MBR) del equipo infectado, el troyano reiniciará el equipo. [2]
Durante la etapa principal de la infección, el malware cargará información de la computadora durante veinte minutos, incluidos datos financieros como números de tarjetas de crédito y credenciales de cuentas bancarias, así como cuentas de correo electrónico, contraseñas de Windows, credenciales de FTP y cuentas POP / SMTP . [4]