01/06/2006 - PandaLabs ha detectado la existencia de una red de robo de datos y contraseñas para la cual se estaba utilizando la nueva variante I del troyano Briz. Según los datos obtenidos por PandaLabs de la página que utilizaba el atacante para controlar la red, hasta el momento había contabilizados 2.700 ordenadores infectados, distribuidos geográficamente en más de 120 países.
El autor o autores de la red ahora descubierta, han estado distribuyendo a Briz.I desde determinadas páginas web, relacionadas principalmente con contenidos ilegales o pornográficos. Desde PandaLabs se está trabajando conjuntamente con otras empresas de seguridad para verificar y cerrar cada uno de los sitios web relacionados con esta red, e impedir la extensión de la amenaza.
La aparición de Briz.I puede ser consecuencia de la trama de creación y venta de troyanos “a la carta” Briz, que PandaLabs descubrió y desmanteló recientemente. Según Luis Corrons, director de PandaLabs: “puede ser que el autor del troyano original haya decidido obtener dinero de forma directa utilizando los mismos troyanos que antes vendía, o bien Briz.I puede ser una nueva versión de alguno de los ejemplares que se vendieron mientras la trama se mantuvo activa”.
Briz.I se infiltra en los sistemas infectados bajo el nombre “iexplore.exe”, simulando ser el proceso del navegador Internet Explorer. Una vez en el sistema, descarga un archivo que envía información a la web de control del atacante acerca del equipo infectado, incluyendo datos como su dirección IP o el país al que pertenece. Otro de sus componentes se integra en Internet Explorer capturando toda información enviada por el usuario en los formularios web, como contraseñas de correo o claves para operar en banca online. Este malware permite además utilizar el ordenador del usuario como pasarela para conectarse a otras páginas y enmascarar la identidad del atacante, y puede acceder de forma remota a los ficheros alojados físicamente en el ordenador afectado.
Briz.I está diseñado para pasar desapercibido tanto para usuarios como las compañías de seguridad. Para ello, borra sus huellas una vez que cada de uno de los componentes ha realizado su tarea. Además modifica el fichero “hosts” de Windows, para evitar que el usuario pueda acceder a páginas web de compañías de seguridad, y desactiva el firewall de Windows.
“El objetivo actual de los creadores de malware es ganar dinero, por lo que centran sus esfuerzos en introducir malware de forma oculta, y que como en este caso, intentan capturar datos y claves personales para cometer fraudes”, afirma Luis Corrons, que añade: “las tecnologías de detección tradicionales, basadas en firmas, se están mostrando insuficientes para hacer desaparecer estas amenazas. Para evitar esta epidemia silenciosa, es necesario complementarlas con tecnologías proactivas, como TruPreventTM, capaces de detectar malware por sí mismas, sin necesidad de conocerlo con anterioridad”.
La red controlaba 2.700 ordenadores repartidos por más de 120 países sin el conocimiento de sus usuarios, capturando toda clase de datos personales, como claves bancarias o contraseñas. 
