Instituto Nacional de ciberseguridad. Sección Incibe

Spyeye

¿Qué es?

Spyeye es un malware de tipo troyano bancario con características de backdoor, que se enfoca en infectar dispositivos Windows para robar credenciales bancarias, información de inicios de sesión y otros datos sensibles. Se trata de una variante del malware Zeus y, como éste, también proporciona una puerta trasera a los atacantes que permite incluir los dispositivos como parte de una botnet para realizar otras actividades maliciosas de manera distribuida.

¿Qué hace?

Este malware tiene capacidad para realizar las siguientes acciones en los dispositivos infectados:

  • Intercepta y modifica páginas web bancarias para capturar credenciales en tiempo real mediante técnicas como la de webinjects.
  • Roba datos confidenciales almacenados o introducidos por el usuario, donde se incluyen las credenciales de banca en línea y la información de tarjetas de crédito y de formularios web (form grabbing) antes de cifrarlos a través de HTTPS.
  • Crea páginas falsas muy similares a las originales de servicios bancarios (web fakes) insertadas dinámicamente durante la navegación para engañar a los usuarios y robar datos adicionales, como los PIN o códigos 2FA.
  • Registra pulsaciones de teclado (keylogging) para capturar contraseñas y otra información tecleada manualmente.
  • Realiza capturas de pantalla de sesiones activas para robar datos visuales.
  • Establece comunicación con servidores de mando y control (C2) desde donde recibe instrucciones y a los que envía la información robada.
  • Actualiza su configuración y sus módulos adicionales a través de comandos remotos.
  • Elimina o neutraliza otros troyanos bancarios competidores.
  • Automatiza el proceso de realizar transferencias bancarias no autorizadas desde las cuentas de las víctimas sin su conocimiento.
  • Utiliza técnicas de ofuscación y cifrado para dificultar su detección por soluciones de seguridad tradicionales.
  • Extrae cookies del navegador que permiten el secuestro de sesiones activas sin necesidad de volver a ingresar credenciales.
  • Desactiva avisos de seguridad de navegadores (como certificados SSL inválidos) para facilitar la manipulación de sitios web.
  • Inyecta su código en procesos del sistema para ocultar su actividad y generar persistencia tras reinicios.
  • Puede convertir los equipos infectados en proxies que los atacantes utilizan para enrutar tráfico malicioso y ocultar su verdadera ubicación.

Sistemas afectados

Los principales dispositivos afectados son:

  • Dispositivos con sistemas Microsoft Windows (desde Windows XP hasta Windows 8).

¿Cómo me infecta?

Este malware infecta a los dispositivos a través de campañas de phishing por correo electrónico con archivos adjuntos maliciosos, a través de herramientas de explotación (exploit kits) de vulnerabilidades del sistema o de los navegadores, a través de descargas desde sitios web comprometidos o maliciosos y a través del intercambio de archivos y programas maliciosos disfrazados de software legítimo o cracks en redes de intercambio o P2P.

Cómo desinfectar mi equipo

Las principales firmas de antivirus contienen reglas para detectar y eliminar este malware: accede a los cleaners.

Más información

Compartir en Redes Sociales