El regreso del troyano Zeus

0

Troyano Zeus

El troyano bancario Zeus ha vuelto con nuevo código y capacidades, como han descubierto los investigadores de Trend Micro.

Después de casi haber suspendido su actividad en Enero, han surgido nuevas variantes de Zeus a comienzos de Febrero, las cuales han estado activas durante meses -con picos a mediados de Mayo-. Trend Micro trata este tema en su blog Trendlabs Security Intelligence. La última versión se vuelve diferente una vez que alcanza el ordenador de la víctima, pero aún sigue cumpliendo su objetivo de robar información de sitios sensibles como webs bancarias.

Zeus estuvo bastante inactivo la mayor parte del 2012 y principios de este año, después de que Microsoft y algunos de sus colaboradores legales consiguieran desmantelar muchos de sus C&C o Centros de Comando (servidores) en Marzo de 2012. En ese momento, desde Microsoft ya se dieron cuenta de que no era una victoria completa, ya que algunos de esos servidores de control aún permanecieron operativos. Incluso así, Microsoft consiguió echar por tierra una gran cantidad de su infraestructura y por eso hemos disfrutado de unos meses de tranquilidad.

Viejas amenazas como ZBOT siempre pueden protagonizar reapariciones (en forma de variantes) debido a que ofrecen un alto beneficio a quien los controla.

Zeus es un Troyano cuya misión es obtener información sensible de usuarios y sitios web, todos ellos relacionados con el mundo financiero. Zeus también obtiene datos personales como cuentas de email. Versiones previas guardaban la información obtenida en una carpeta del propio entorno Windows, modificando el archivo de “hosts” para que los usuarios no pudiesen acceder a sitios web relacionados con la seguridad. El archivo de configuración contiene nombres de instituciones financieras que son examinadas por el troyano, mientras el usuario disfruta de su “inofensiva” sesión de navegación. 

Los administradores de la herramienta son libres, en todo momento, de modificar los sitios web objetivo de monitorización.

Diferencias entre variantes

Las nuevas variantes crean dos carpetas con nombres aleatorios dentro del directorio del usuario, una para contener malware y la otra para almacenar datos encriptados. Los últimos troyanos Zeus son principalmente variantes de Citadel o GameOver. Ambas versiones envían solicitudes DNS a nombres de dominio aleatorios para buscar su servidor de control. La máquina infectada recibe una lista de los sitios que debe monitorizar desde su C&C.

Cualquier información que permita llegar hasta fondos de usuarios en bancos es muy codiciada en la parte oscura de la red. Los usuarios debemos tener mucho cuidado a la hora de abrir correos electrónicos y también a la hora de clickear sobre enlaces dudosos. Por último y no menos importante: mantener el sistema al día, tanto el sistema como programas de uso cotidiano o susceptibles de ser objetivos apetecibles para los hackers.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR