noviembre 14, 2020

El malware SpyEye.

Recogiendo el testigo de la exitosa botnet Zeus, en el año 2010 fue detectado un nuevo malware cuyo objetivo principal era reclutar nuevas víctimas para la red zombie SpyEye.

Vendido por un precio inferior de 500 dólares en diferentes foros de la escena underground rusa, el troyano bancario Win32/AutoRun.Agent.ZJ, permite crear de manera sencilla una botnet para recopilar información bancaria. Los principales países donde SpyEye operó fueron Estados Unidos, México, Reino Unido, Canadá e India.

En las primeras versiones del troyano parecía que éste había surgido para competir con el otro malware de moda en la época, Zeus. Una vez SpyEye infectaba un equipo, este eliminaba cualquier presencia de Zeus para tener control total sobre equipos. Rumores posteriores indicaron que los creadores de Zeus dejaron de trabajar en esta botnet para centrar sus esfuerzos en la mejora de SpyEye.

Son varios los métodos que utilizaba el malware para intentar propagarse. En primer lugar, al infectar una maquina el malware buscaba procesos en ejecución relacionados con programas de mensajería instantánea para enviar un mensaje a todos los usuarios de la víctima. En segundo lugar, utilizando un archivo de tipo autorun.inf intentará infectar dispositivos de almacenamiento extraíble para continuar expandiéndose.

Funcionamiento.

El kit de SpyEye consta de dos partes bien diferenciadas. Un pequeño programa que crea el troyano y un panel web o C&C que servirá para recopilar información y enviar nuevas órdenes a los ordenadores zombies.

En esta imagen se puede ver uno de los formularios que SpyEye utiliza para sustraer la información financiera de las víctimas.

A continuación, se describen algunas de las utilidades más interesantes que se podían encontrar en el kit:

  • Create task for loader: Esta función permite al delincuente indicar a los ordenadores zombies la carga de alguna página web específica. Mediante este método los ordenadores zombies podrían visitar anuncios o banners que les devolverá un beneficio directo a los atacantes.
  • Virtest: Este plugin permite el análisis de malware a través de varios motores antivirus. Esto permite al atacante asegurarse de que el malware creado será indetectable por la mayoría de los antivirus de las victimas.

SpyEye es considerado por muchos una versión mejorada de la botnet Zeus debido a que esta última simplemente recopilaba información y se la entregaba a los delincuentes y SpyEye por su parte consiguió automatizar tareas para obtener un beneficio real de los datos sustraídos.

Los creadores de SpyEye, Aleksandr Andreevich Panin y Hamza Bendelladj consiguieron infectar miles de ordenadores, recaudar más de 200.000 números de tarjetas de crédito y fueron responsables de pérdidas superiores a 100 millones de dólares para los gobiernos afectados. En 2016, fueron sentenciados a más de 25 años de prisión, acusados de organización criminal y fraude bancario.

___________________________________

Recordaros que podéis seguirnos en nuestro Twitter, Instagram y Telegram.

Si te gusta la labor que realizamos a diario…

Autor.

Acerca de Fran Ramirez

Técnico superior en administración de sistemas informáticos / Certificado Cisco CCNA / Auditor de seguridad informática /

Categoría

Artículos, Colaboración, Cyber

Etiquetas

, , ,