Symantec ha hecho publíca la noticia de que el troyano Infostealer.Monstres habría estado robando información sensible (1) del portal de empleos Monster.com.

El funcionamiento del troyano consistía en realizar conexiones hacia la web de Monster.com y así realizar búsquedas laborales utilizando credenciales de empresas empleadoras (2). La comunicación con la web en cuestión era realizada a través de subdominios dedicados a personas/empresas que pagan por el servicio de búsqueda de candidatos apuestos de trabajo.

Troyano ataca a usuarios de Monster.com

Dicho servicio, puede ser accedido mediante un pago periódico y en algunos casos está limitado en la cantidad de consultas que pueden ser realizadas, por lo que nos hace suponer que para llegar al 1.6 millón de datos que según Symantec han sido extraídos, deberían de haber utilizado los datos de acceso de empresas que han contratado el servicio semestral o anual, los cuales no tienen límites de consultas.

Symantec también resalta la similitud entre Infostealer.Monstres y Trojan.Gpcoder.E, ambos utilizan un mismo archivo e icono, similar al de la compañía Monster.com, lo que daría a suponer que un mismo grupo de individuos estaría detrás de ambos troyanos.

Además, Trojan.Gpcoder.E, ha estado utilizando datos reales en correos no deseados (SPAM), lo que ha dado como resultado en un excelente ataque de phishing.

Algunos medios informaron erróneamente que el ataque había sido hacia la web de Monster.com y utilizando cuentas de empleados (3) de dicha empresa, cuando en realidad fueron cuentas de empleadores y el ataque lo sufrieron los usuarios de la web y no un servidor como se pretendía dar a entender.

Enlaces relacionados:

Roban los datos personales de miles de usuarios del portal de empleo Monster:

http://www.20minutos.es/noticia/268597/0/robo/datos/moster/

Monster attack steals user data

http://news.bbc.co.uk/2/hi/technology/6956349.stm

A Monster Trojan

http://www.symantec.com/enterprise/security_response/weblog/2007/08/a_monster_trojan.html

Los datos de miles de usuarios de Monster.com desvelados

http://www.hispamp3.com/noticias/noticia.php?noticia=20070822081824

(1) Según la empresa Monster.com, la información extraída no sería considerada por ellos de alta sensibilidad, alegando que es la misma que puede ser sacada de un listado telefónico.

(2) Dichas cuentas puede haber sido robadas haciendo uso del troyano en cuestión o también creadas por los mismos atacantes, la relación costo beneficio es muy conveniente, el acceso semestral tiene un costo de €4,999 y si hacemos uso de una buena red zombie en pocos días se puede lograr lo que Symantec ha reportado, es decir miles de equipos realizando consultas y enviando la información a los atacantes.

(3) Employers, del inglés Empleador, no Empleado como asumió el diario 20minutos.es.

# Martin Aberastegue
# Rynho Zeros Web (http://www.rzw.com.ar)
# Seguridad Informática