El ave fénix da nombre a este hacker brasileño

La firma de seguridad Trend Micro ha descubierto la presencia en Internet de un joven estudiante brasileño de 20 años que a lo largo de los últimos dos años ha creado más de 100 programas malware enfocados directamente a robar los datos bancarios de los usuarios más incautos.

Lordfenix, como se hace llamar este hacker, también conocido en su día como Filho de Hacker (Hijo de Hacker) hizo sus primeras apariciones en el mundillo del malware en abril de 2013, solicitando en un foro de programadores ayuda para un pequeño troyano que supuestamente estaba desarrollando.

Si en un principio parecía un simple newbie dispuesto a hacer sus primeros pinitos en esto del malware, desde entonces parece ser que las habilidades de Lordfenix como hacker han crecido exponencialmente, ya que a lo largo de estos poco más de dos años ha desarrollado más 100 troyanos bancarios que ahora vende a clientes por algo más de 300 dólares cada uno.

Las cuantiosas ganancias de Lordfenix gracias a sus troyanosLas cuantiosas ganancias de Lordfenix gracias a sus troyanos / Imagen propiedad de Trend Micro

El negocio de este joven hacker está resultando ser bastante lucrativo, como se puede observar en la anterior foto encontrada en su muro de Facebook por los analistas de Trend Micro, en el que no duda alardear de sus generosas ganancias.

Aun así, para expandir su negocio, Lordfenix no ha tenido problemas para ofrecer versiones gratuitas de sus troyanos capaces de robar credenciales de acceso de algunos de los bancos brasileños más populares como el Banco de Brasil, la filial brasileña de HSBC o Caixa, y no tiene reparos en anunciar sus servicios en varios foros de la Deep Web o incluso a través de Skype.

El método usado por los troyanos de Lordfenix

Eso sí, para atacar a otras entidades bancarias, los clientes de Filho de Hacker tendrán que adquirir una versión más potente del troyano gratuito. Esta herramienta se llama TSPY_BANKER.NJH y funciona del siguiente modo.

Cuando un usuario infectado accede a la web de uno de los bancos objetivos del troyano, éste es capaz de detectarlo, cerrando la ventana del navegador (en caso de usar Google Chrome) y mostrando un mensaje de error.

Seguidamente, abre una nueva ventana falsa con la URL del banco en cuestión donde el cliente puede introducir su nombre de usuario y contraseña (en el caso de Firefox o Internet Explorer, ambas ventanas permanecen abiertas). Si rellena los campos, estos datos son enviados inmediatamente al hacker que ya dispone de la información que venía buscando. En ningún caso el usuario se da cuenta de la estafa ya que ambas ventanas parecen idénticas y el cambio de ventana es prácticamente instantáneo.

URL falsa de HSBC en la que los clientes introducen sus credenciales sin ningún tipo de miedoURL falsa de HSBC en la que los clientes introducen sus credenciales sin ningún tipo de miedo / Imagen propiedad de Trend Micro

Como medida adicional, el troyano incluye un software capaz de cerrar el proceso GbpSV.exe usado por muchos bancos brasileños para garantizar la seguridad de los datos de sus clientes online.

Con este método y la proliferación de sus troyanos bancarios, Lordfenix ya se ha hecho un nombre en el mundillo de los ciberdelincuentes. Con ejemplos como este queda claro que no hace falta ser un numeroso grupo bien organizado para poner en jaque la seguridad de bancos u otros organismos. A veces basta con un solo individuo. 

sid-raphael editada con licencia CC 3.0

Relacionados

Nos encanta escucharte ¿Nos dejas tu opinión?