Los investigadores de seguridad de RSA advierten que un nuevo troyano bancario está siendo vendido en el mercado negro por unos ciberdelincuentes rusos. Lo interesante acerca de esta amenaza, apodada "Hand of Thief” (Mano de ladrón), es que está diseñada para robar información de los ordenadores que ejecutan Linux.


El troyano ha sido probado en 15 distribuciones de Linux diferentes y es compatible con 8 entornos de escritorio, incluyendo el popular Gnome y Kde.

Los clientes tienen un panel de administración básico que les permite controlar los dispositivos infectados. La información recolectada es almacenada en una base de datos MySQL.

En cuanto a la distribución, actualmente no hay ningún exploit significativo dirigido a la plataforma Linux. Por eso, el vendedor recomienda el uso de correo electrónico o ingeniería social como vector de infección.

Actualmente, el malware se vende por 2.000$ (1.500€) con actualizaciones gratuitas, pero sólo en comunidades de ciberdelincuencia cerradas.

Por el momento, el troyano tiene sólo capacidades de grabber (agarrador) y backdoor (puerta trasera). Sin embargo, los expertos dicen que se instalará con un nuevo conjunto de inyecciones web que lo convertirán en un verdadero malware bancario.

Una vez que llegue a madurar, la amenaza de Linux costará unos 3.000$ (2.250€). Además, los clientes tendrán que pagar 550$ (410€) por cada actualización importante.

Teniendo en cuenta que el número de víctimas es pequeño, el precio de la amenaza es bastante alto.

"Aunque Hand of Thief llega al mercado clandestino en un momento cuando los troyanos comerciales tienen una alta demanda, escribir malware para el sistema operativo Linux es infrecuente y con razón", explicó el experto en inteligencia cibernética de RSA Limor Kessem.

"En comparación con Windows, la base de usuarios de Linux es más pequeña, reduciendo considerablemente el número de víctimas potenciales y por consecuencia las posibles ganancias de fraude. En segundo lugar, dado que Linux es un producto de código abierto, las vulnerabilidades son parcheadas rápidamente por la comunidad de usuarios."