Este último programa malicioso tiene varias características técnicas que lo distinguen de sus similares, ya que ejecuta dos módulos principales en el equipo capturado: un archivo ejecutable y un archivo comprimido JAVA. El principal módulo ejecutable, responsable de la comunicación con el servidor de comando, funciona de forma simultánea con los archivos maliciosos JAR. Esto permite a los ciberdelincuentes modificar de forma instantánea cualquier código que se ejecute en JAVA, en particular mientras se llevan a cabo las transacciones bancarias.
El código de BIFIT_AGENT.JAR está altamente ofuscado, dificultando aún más el análisis de los archivos que interactúan con estos sistemas. No obstante es posible reconstruir las acciones del programa malicioso, ya que éste posee amplias capacidades relacionadas con el registro de sus propias acciones.
Se han detectado instalaciones de Trojan-Banker.Win32.BifitAgent en equipos que son parte de redes zombi creadas por programas maliciosos como Trojan.Win32.DNSChanger, Backdoor.Win32.Shiz, Virus.Win32.Sality, etc. Pero no se ha detectado ninguna propagación mediante exploits.
Los usuarios deben asegurarse de que a su ordenador sólo acceden usuarios de confianza y utilizar o actualizar sólo aplicaciones de fuentes seguras que garanticen que no están infectadas. Se recomienda utilizar programas de seguridad actualizados, como soluciones antivirus, cortafuegos personales, productos que protejan contra el acceso desautorizado, etc.
Fuente: muyseguridad
