Una variante del troyano Zeus afecta a bancos europeos y candienses

Escrito por Adrián Crespo
Seguridad
0

Uno de los malware más populares en RedesZone continúa ampliando su familia. En esta ocasión, en lugar de afectar a los usuarios particulares y así conseguir el robo de las credenciales de acceso a cuentas de servicios de banca, esta variante del troyano Zeus está pensada para afectar directamente a los equipos que pertenecen a la red local de las oficinas de algunas entidades bancarias, tal y como han reportado algunas compañías especializadas.

El motivo del cambio del objetivo resulta bastante claro: la información que contienen y que se maneja con estos equipos. Teniendo en cuenta que estamos hablando de ordenadores donde se aprueban transacciones y se modifican datos de los usuarios, parece relativamente justificado que se hayan convertido en un objetivo mucho más apetecible. La mecánica para infectar estos equipos es la misma que en el caso de un usuario particular: se realiza el envío de un correo electrónico a una cuenta perteneciente a un empleado de la entidad, bien con un archivo adjunto o de lo contrario recurriendo a un enlace. Al realizar la descarga del archivo y abrirlo, se realiza la instalación del malware que queda abierto en un segundo plano recopilando información y permitiendo el control del equipo de forma remota.

Esto permite a los ciberdelincuentes la posibilidad de extender el virus haciendo uso de la red local de equipos o incluso se ha llegado a dar el caso de la utilización de las unidades extraíbles para su distribución, tal y como ha sucedido en un banco canadiense.

Algunas herramientas de seguridad no detectan la presencia de esta variante del troyano Zeus

Los responsables de seguridad del banco canadiense que más se ha visto afectado han concretado que los equipos ejecutan una herramienta de seguridad de forma permanente. Sin embargo, puntualizan que la no detección de este troyano se debe a la utilización de procesos legítimos del sistema operativo para camuflar su actividad, algo que ya hemos podido ver en otras amenazas. Otro impedimento es la comunicación cifrada con el servidor de control, imposibilitando un análisis del tráfico y por lo tanto que se produzca el bloqueo.

Engañar al usuario utilizando páginas web falsas

El troyano Zeus es capaz de saltarse el cifrado SSL de las páginas que hace uso el usuario. El motivo es muy simple: utiliza páginas falsas. Esto quiere decir que aunque siga apareciendo en el barra de direcciones “el candado verde” acompañando la dirección, en realidad el usuario ah accedido a una página web falsa que es propiedad de los ciberdelincuentes e idéntica a la legítima. De esta forma complementa la función de keylogger que posee, permitiendo una mayor certeza a la hora de realizar el robo de datos.

Además, los responsables de seguridad se han percatado de que la interfaz de control es mucho más avanzada, permitiendo clasificar la información y realizar transacciones con suma facilidad.

Fuente | Softpedia