Una de las piezas de malware en circulación más sofisticadas tiene una actualización que le permite a los cibercriminales actuar aún más rápidamente después de que han robado datos de una PC.
De acuerdo a la compañía de seguridad RSA, el troyano Zeus –culpado por permitir incontables delitos a cuentas de banco en línea – ahora usa un componente de mensajería instantánea que alerta a los hackers inmediatamente cuando han capturado las credenciales de autenticación de alguien. Eso puede permitir el rápido uso de información sensible al tiempo, como contraseñas de un solo uso, ahora usadas frecuentemente en la banca en línea.
Zeus no es la primera pieza de malware que emplea la mensajería instantánea, puntualiza RSA en su Reporte de Fraude En Línea para agosto. Se encontró que otro programa que roba contraseñas llamado Sinowal también lo usaba en 2008.
Una vez que está en una PC, Zeus envía nombres de usuarios y contraseñas a un servidor remoto, al cual el hacker debe acceder y descifrar. RSA, encontró que varias variantes de Zeus tienen un módulo Jabber de mensajería instantánea. El proyecto Jabber – así como otros servicios como la característica de chat de el GMail de Google—utilizan XMPP (Mensajería Extensible y Protocolo de Presencia o Extensible Messaging and Presence Protocol), un estándar abierto para la mensajería instantánea.
El hacker establece dos cuentas Jabber, una para enviar información y una para recibirla. Cuando Zeus obtiene los nombres de usuarios, los envía a un servidor remoto. El módulo Jabber entonces busca credenciales para instituciones financieras específicas y entonces transmite la información al hacker a través de mensajería instantánea, dijo RSA.
El número de computadoras en EE UU, solamente, infectadas con Zeus se estimó el mes pasado en 3.6 millones de computadoras por la compañía de seguridad Damballa, haciéndolo uno de los programas de software malicioso más común y una botnet muy grande.
Los usuarios pueden infectarse si no han instalado los últimos parches de seguridad en sus computadoras y han visitado páginas web diseñadas para buscar automáticamente vulnerabilidades de software y entonces entregan el malware. Zeus también puede ser instalado inadvertidamente en una computadora si una persona es engañada para que abra un archivo adjunto en un correo electrónico que contenga Zeus.
Zeus, el cual se cree fue producido por un hacker ruso que usa el nombre de A-Z, es vendido en foros subterránea a aspirantes a cibercriminales, de acuerdo a otra compañía de seguridad, Secureworks.
Puede ser personalizado de acuerdo a las necesidades de los compradores. Por ejemplo, Zeus puede ser codificado para sólo buscar los detalles de nombres de usuarios de una lista específica de sitios web.
“El programa cybercriminal fácil de usar, Zeus, para que los individuos puedan crear su propia red de troyanos a la medida, se ha convertido en una herramienta para favorecer a los criminales principiantes, para que se involucren en la economía subterránea”, de acuerdo a Peter Coogan de Symantec, quien escribió en uno de los blogs de la compañía. “La gran disponibilidad de esta herramienta en foros subterráneos últimamente, ha llevado a que también se incremente su uso”.
Zeus ha estado en el radar de profesionales de la seguridad desde hace un tiempo, y un grupo tiene un sitio web que rastreas infecciones de Zeus y servidores de comando y control, los cuales pueden emitir instrucciones a las PC infectadas.
El ZeusTracker ahora cuenta 802 host maliciosos con Zeus. La organización también publica una lista de bloqueo que los administradores pueden usar para asegurarse de que las personas en su red no accedan a dominios peligrosos relacionados con Zeus.
Fuente: Spam Spam y Segu-info