No pocas veces hemos comentado casos de malware que tenían como finalidad robar información confidencial de los sistemas que infectaban. Ahí tenemos, sin ir más lejos, los casos de ciberespionaje entre naciones, con varios países de Oriente Medio en el punto de mira, o el caso de Medre, donde un malware fue usado para realizar espionaje industrial.
Viendo estos casos, no debería sorprendernos la noticia del descubrimiento de un nuevo troyano especializado en robar archivos de imagen con extensión .jpg o .jpeg, pero también ficheros de volcado de memoria con extensión .dmp. Estos ficheros son recopilados y enviados a un servidor FTP ubicado, aparentemente, en Oriente Medio.
Con esta información podríamos pensar que se buscan fotos comprometidas de la víctima que puedan ser usadas para realizar algún tipo de chantaje. Recordemos, por ejemplo, los múltiples casos de famosos que han visto cómo han sido publicadas fotos privadas que se han obtenido accediendo a sus dispositivos móviles o a sus ordenadores. No obstante, la ubicación del servidor en una zona del planeta tan caliente últimamente en temas de ataques informáticos nos hace pensar que detrás hay un motivo más importante.
No en vano, entre las miles de imágenes que se pueden obtener de un sistema infectado con este malware podemos encontrar algunas interesantes para un ataque dirigido, como puedan ser documentos confidenciales escaneados o fotografías de instalaciones secretas. Compañeros de otras casas de seguridad como Sophos o McAfee comparten con nosotros la conjetura de que tal vez estemos ante una versión preliminar de un malware diseñado para robar información confidencial y puede que veamos una versión elaborada dentro de poco tiempo.
El robo de ficheros .dmp también resulta interesante, puesto que se puede obtener información muy valiosa del sistema que se desee atacar, conociendo sus puntos débiles de antemano. Es esta característica la que más interés despierta a los investigadores y la que más juego puede llegar a dar en el caso de que, finalmente, esta amenaza se esté propagando con finalidades de espionaje.
Por nuestra parte, seguiremos de cerca este malware y sus posibles variantes para descubrir si estamos ante un nuevo caso de amenaza dirigida que pueda desembocar en un nuevo caso de espionaje en la región.