El malware Zeus resurge con fuerza durante este 2013

Una de las amenazas que más ha dado  que hablar en los últimos años por su propagación y variantes ha sido Zeus (también conocido como zbot). Este malware, especializado en robar información de los ordenadores o dispositivos móviles que infecta, ha sido uno de los que con más frecuencia hemos tenido que lidiar en nuestro laboratorio desde hace más de 3 años.

Durante ese tiempo, hemos visto cómo los ciberdelincuentes que lo han utilizado para robar información de los usuarios han ido adaptándolo a los nuevos tiempos, incluyendo nuevas técnicas de propagación. Estas técnicas incluyen desde campañas de spam con ficheros adjuntos infectados o enlaces maliciosos a la distribución de enlaces por los servicios de mensajería de redes sociales como Facebook.

Además, desde principios de 2011, el código fuente de este malware es de dominio público, lo que ha originado nuevas variaciones y su integración en kits de crimeware como Citadel. Su propagación ha sido tal durante los últimos años que también representa una de las mayores amenazas para dispositivos Android.

backdoor-binary

Algunos pensaban que, tras las diversas operaciones contra este tipo de botnets basadas en Zeus, y el tiempo pasado desde su aparición, este tipo de malware estaba condenado a desaparecer en detrimento de nuevas amenazas. No obstante, tanto nosotros en nuestro laboratorio como compañeros de otras empresas antivirus han notado un repunte en el número de muestras de Zeus detectadas en los últimos meses.

Este resurgimiento parece estar provocado por la aparición de nuevas versiones de este malware clásico. Si hasta ahora Zeus era conocido por el robo de información de todo tipo (datos bancarios, de acceso servicios online como redes sociales  o cuentas de correo), así como por ser capaz de registrar las pulsaciones de nuestro teclado, tomar periódicamente capturas de pantalla o descargar malware adicional, las nuevas versiones permiten hacer eso y además añadir una serie de interesantes características. Las resumimos a continuación gracias a nuestros compañeros de DragonJar:

  • Comunicación P2P: tras infectar un sistema, el malware roba los datos y los envía a su centro de mando y control (C&C). Los cambios en la configuración y las nuevas versiones se descargan desde el C&C.
  • DGA: en caso de no poder comunicarse con la red P2P, el troyano genera automáticamente nuevos dominios, basándose en varios factores, aunque los más usados son el día y el mes.
  • Firma de los ficheros: las nuevas versiones de este malware utilizan una clave RSA para evitar la distribución de bots por alguien que no sea el Botmaster.
  • Cambio en el algoritmo de compresión: se sustituye el uso de ULC, una implementación Open Source del algoritmo NRV, por funciones de una librería zlib.
  • Cifrado adicional: los datos almacenados se guardan con una sola clave.
  • Es capaz de lanzar ataques de tipo DDoS.
  • HTTP vía P2P: es capaz de usar servidores P2P para las comunicaciones HTTP.
  • Implementa PCRE para la creación de reglas.

Por todas estas nuevas características, es normal que estemos observando una elevada propagación de este malware. No obstante, las medidas de protección siguen siendo las mismas que con las versiones anteriores: desconfiar de enlaces o adjuntos sospechosos, utilizar nuestro sistema con una cuenta de privilegios restringidos, actualizar nuestro sistema y las aplicaciones que en él tengamos instalados y contar con una solución antivirus capaz de detectar y eliminar este tipo de amenazas.

Josep Albors

Un comentario

Comentar

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Acerca de las cookies en este sitio

Este sitio web utiliza cookies propias y de terceros para mejorar tu experiencia de usuario y obtener información estadística. Para poder seguir navegando pulsa en "Sí, estoy de acuerdo". Podrás retirar este consentimiento en cualquier momento a través de las funciones de tu navegador. Ver nuestra política de cookies..