marzo 24, 2020

La Botnet ZeuS.

Debido a que estos días todos estamos un poco saturados de la palabra “virus” creo que es buen momento para empezar a hablar de otro tipo de malware, las redes zombis o botnets.

La principal característica de las botnets, es la capacidad para controlar un gran número de equipos de manera simultánea cumpliendo las órdenes enviadas por el atacante. Algunos de  los usos más comunes que los atacantes hacen de las botnets son, propagación de spam, robo de información o clic masivo en publicidad.

En este primer artículo sobre redes zombis vamos a hablar de ZeuS, una de las botnets con más capacidad de computación a la hora de infección. Zbot, como también se la conocía, disponía de uno de los mayores conjuntos aplicativos de crimeware que permitía la administración de los equipos infectados vía web a través de una sencilla e intuitiva interfaz.

Este tipo de aplicativos permitía al botmaster administrar y controlar cada una de las maquinas infectadas

La empresa norteamericana Damballa estimó que ZeuS llegó a infectar más de 3 millones de equipos en Estados Unidos en el año 2009.

Las primeras noticias que se tienen sobre esta botnet fueron en julio de 2007 cuando se utilizó para robar información del departamento de transporte de Estados Unidos. En junio de 2009 se descubrió que Zbot había conseguido comprometer más de 70.000 cuentas FTP en sitios web de empresas como Bank of America, Nasa, Monster o Amazon.

Sus principales vectores de infección pasan por métodos de phising o descargas Drive-by. El software se introducía en los dispositivos por descargas voluntarias aunque  inintencionadas mediante pop-ups o archivos de correos electrónicos.

Una vez el equipo victima ha sido infectado, ZeuS creaba una puerta trasera la cual será utilizada más tarde para tener control total sobre la máquina y seguramente sea utilizada como punto de entrada a la red empresarial.

En este kit de crimeware se incluyen diferentes tipos de herramientas.

  • Archivos HTML que clonan diversas páginas web de entidades bancarias o ISP. Algunos ejemplos serian BBVA, Grupo Santander, EBay, Banco Popular, PayPal o Citibank entre otros.

Aparte de ataques phising, la botnet propagaba otros tres tipos de malware muy bien reconocidos:

  • Win32/PSW.LdPinch: Troyano cuyo objetivo es recopilar información relacionada con usuarios y contraseñas.
  • Win32/TrojanClicker.Delf: Troyano que recopila números de clic realizados sobre servicios como AdSense o similares.
  • Win32/TrojanDownloader.Small: Troyano que se utiliza para descargar otro malware en el equipo zombi.
  • Win32/Koobface: Gusano diseñado para explotar diferentes redes sociales.
  • PDF/Exploit.Pidief: Malware orientado a la explotación de vulnerabilidades en los lectores PDF Adobe Reader y Foxit Reader.

En Octubre del año 2010, el FBI norteamericano anuncio que un grupo de ciberdelincuentes situados en el Este de Europa había utilizado esta botnet para infectar equipos de todo el mundo. El virus había sido distribuido a través de correo electrónico y las víctimas habían sido seleccionadas al detalle, grandes negocios y pequeños municipios. Al abrir el correo electrónico el malware comenzó a capturar de manera secreta las contraseñas, números de cuenta y otros tipo de datos relacionados con los inicios de sesión de banca online.

Los piratas informáticos comenzaron a realizar transferencias desde las cuentas bancarias de las víctimas a diferentes fondos controlados por una red de “mulas” a las cuales se les ingresaba una pequeña comisión por estos trabajos. Algunas de estas mulas fueron capturadas por el FBI en Estados Unidos, pero muchas de ellas redirigían ese dinero a sus jefes en países de Europa del Este o directamente sacaban el dinero en efectivo y lo pasaban clandestinamente fuera del país.

Más de 100 personas fueron arrestadas con cargos como fraude bancario y blanqueo de dinero la gran mayoría de ellos con nacionalidades estadounidense, ucraniana e ingleses.

Aunque su creador ya no pueda trabajar en el código de ZeuS, este malware todavía sigue libre por la red, permitiendo que toda una comunidad de ciberdelincuentes siga mejorando y actualizando su código para continuar infectando miles de equipos. Para evitar posibles dolores de cabeza a usuarios y empresa se recomienda mantener sus sistemas informáticos actualizados, evitar la visita de sitios web peligrosos y no realizar descargar de páginas no oficiales.

Become a Patron!