KardPhisher.A es un troyano que se hace pasar por un mensaje de Windows para robar información confidencial. El proceso es el siguiente: una vez ha infectado un ordenador, el troyano crea un archivo con nombre “keylog.dll” que se encarga de capturar la información del teclado.
A continuación, y para asegurarse de que el usuario introducirá alguna información “rentable”, el troyano muestra, tras el siguiente reinicio del PC, una ventana que simula ser un mensaje de Windows. En ese mensaje se dice al usuario que se ha activado una copia de Windows con el mismo código que la suya. Para asegurar que su copia es la legal, se le pide al usuario que introduzca ciertos datos.
“La trampa está en que el usuario no se puede negar a introducir los datos. Incluso, si el usuario pulsa sobre la opción “No, I will do it later” (no, lo haré más tarde), el ordenador se apagará, volviendo a mostrar el mismo mensaje, si el usuario lo reinicia”, explica Luis corrons, Director Técnico de PandaLabs.
Si ante la imposibilidad de hacer otra cosa, el usuario decide seguir adelante, el troyano le mostrará una nueva ventana en la que se le pedirán datos personales como el número de la tarjeta de crédito, el e-mail y el código CVV.
El troyano comprobará que la dirección de correo electrónico tiene una arroba o que el número de la tarjeta de crédito tiene el número de dígitos correctos.
“Sin embargo, no es necesario que esos datos sean reales. Es decir, podemos inventarnos la dirección de correo y el número de tarjeta. De esta manera, no estaremos dando datos confidenciales y lograremos utilizar, de nuevo, nuestro ordenador de forma correcta”, asegura Luis Corrons.
“El riesgo está”, continúa el Director Técnico de PandaLabs, “en que alguien mal informado proporcione datos reales, ya que la información suministrada por el usuario es enviada, inmediatamente, al creador del troyano a través de una página web”.
Fuente: Climbo.