Zeus (malware) , la enciclopedia libre

Zeus, ZeuS o Zbot es un paquete de malware troyano que se ejecuta en versiones de Microsoft Windows. Se puede utilizar para llevar a cabo muchas tareas maliciosas y delictivas, buscando, reuniendo y transmitiendo a terceros, toda aquella información privada y confidencial del usuario a terceros, pero a menudo se utiliza para robar información bancaria mediante el registro de teclas del navegador y el acaparamiento de formularios. También se usa para instalar el ransomware CryptoLocker.

Zeus se propaga principalmente a través de descargas drive-by y esquemas de phishing. Identificado por primera vez en julio de 2007 cuando se utilizó para robar información del Departamento de Transporte de los Estados Unidos, se generalizó en marzo de 2009. En junio de 2009, la empresa de seguridad Prevx descubrió que Zeus había comprometido más de 74,000 cuentas de FTP en sitios web de empresas como la Bank of America, NASA, Monster.com, ABC, Oracle, Play.com, Cisco, Amazon y BusinessWeek. De manera similar a Koobface, Zeus también se ha utilizado para engañar a las víctimas de estafas de soporte técnico para que den dinero a los estafadores a través de mensajes emergentes que afirman que el usuario tiene un virus, cuando en realidad podrían no tener ningún virus. Los estafadores pueden usar programas como el símbolo del sistema o el visor de eventos para hacer que el usuario crea que su computadora está infectada.

Afectación

[editar]

Primero de todo, para llevar a cabo la afectación del sistema operativo, este malware crea una botnet, esta hace referencia a una red de máquinas corruptas, controladas por un servidor de control y comando, que se encuentran bajo el control del propietario del malware, además, una botnet permite al propietario lanzar ataques masivos, así como recopilar grandes cantidades de información.

Como ya se ha comentado anteriormente, Zeus también actúa como un troyano diseñado para robar credenciales financieras y bancarias de los sistemas que infecta a través de la supervisión del sitio web y el registro de teclas, de esta manera el malware reconoce cuando un usuario se encuentra en un sitio web bancario determinado, y registra las pulsaciones a través de las teclas para poder iniciar sesión, este inicio de sesión se lleva a cabo a medida que el usuario va ingresando las credenciales.[1]

Originalmente, existen dos métodos principales por los que se da la infección del sistema[1]​:

  • Mensajes de spam: normalmente estos mensajes suelen venir en formato de email, pero también se dieron ocasiones en los que se diseñaron campañas en redes sociales para difundir el malware, una vez el usuario haga click en el enlace del email o del mensaje, son automáticamente redirigidos a una página que descarga e instala el malware. Ya que una de las principales funciones de este virus es robar credenciales de inicio de sesión, a veces puede ser configurado y adaptado para que robe las credenciales de las redes sociales del usurario, con tal de difundir mensajes de spam a todos los contactos de la persona.
  • Descargas no autorizadas: estas suceden cuando las personas detrás del malware consiguen convertir una página legítima en corrupta, insertando el código malicioso deseado en la página web en la que los usuarios confían, de esta manera, cuando el usuario intenta descarar algo o simplemente visita la página, el malware es instalado.

Detección

[editar]

Zeus es muy difícil de detectar, incluso con un antivirus actualizado y otro software de seguridad, ya que se oculta utilizando diversas técnicas. Damballa estimó que el Zeus infectó 3,6 millones de equipos en los EE.UU en 2009. Los expertos en seguridad aconsejan que las empresas concienticen a los usuarios y se les enseñe a no hacer clic en enlaces hostiles o sospechosos de correos electrónicos o sitios web, y a mantener la protección antivirus actualizada. El software antivirus no pretende prevenir infecciones de manera confiable; por ejemplo, la protección del navegador de Symantec dice que puede prevenir "algunos intentos de infección".

Como ya se ha dicho, la detección de este malware es complicada, puesto que no suele afectar y proceder de la misma forma en todos los equipos, ya que dependerá de la versión del virus que se haya descargado y haya infectado el sistema. En casos específicos, el malware puede llagar al control de determinadas funciones administrativas del equipo, por lo que si lo consigue, este virus se alojará en la carpeta System del equipo bajo alguno de los siguientes nombres o ejecutables, lo cual puede facilitar su detección[2]​:

  • sdra64.exe
  • oembios.exe
  • twext.exe
  • pdfupd.exe
  • ntos.exe

Medidas severas de FBI

[editar]
FBI: El Zeus Esquema de Fraude

En octubre de 2010, el FBI de los Estados Unidos anunció que los hackers en Europa del Este habían logrado infectar computadoras en todo el mundo utilizando Zeus. El virus se distribuyó en un correo electrónico, y cuando individuos seleccionados de negocios y municipalidades abrieron el correo electrónico, el software troyano se instaló en la computadora de la víctima, capturando secretamente las contraseñas, números de cuenta y otros datos utilizados para iniciar sesión en la banca en línea.

Los piratas informáticos luego utilizaron esta información para hacerse cargo de las cuentas bancarias de las víctimas y realizar transferencias no autorizadas de miles de dólares a la vez, a menudo enviando los fondos a otras cuentas controladas por una red de mulas de dinero, pagando una comisión. Muchas de las mulas de dinero de EE.UU fueron reclutadas en el extranjero. Crearon cuentas bancarias utilizando documentos falsos y nombres falsos. Una vez que el dinero estaba en las cuentas, las mulas lo redirigirían a sus jefes en Europa del Este, o lo retirarían en efectivo y lo sacarían clandestinamente del país.

Más de 100 personas fueron arrestadas por cargos de conspiración por cometer fraude bancario y lavado de dinero, más de 90 en Estados Unidos y otras en el Reino Unido y Ucrania. Los miembros del anillo habían robado 70 millones de dólares.

En 2013, Hamza Bendelladj, conocido como Bx1, fue arrestado en Tailandia y deportado a Atlanta, Georgia, EE. UU. Los primeros informes decían que él era el cerebro detrás de ZeuS. Fue acusado de operar SpyEye (un bot funcionalmente similar a ZeuS) botnets, y se sospecha que también opera con botnets Zeus. Fue acusado de varios cargos de fraude electrónico y fraude y abuso informático. Los documentos de la corte alegan que de 2009 a 2011 Bendelladj y otros "desarrollaron, comercializaron y vendieron varias versiones del virus SpyEye y sus componentes en Internet y permitieron que los ciberdelincuentes personalizaran sus compras para incluir métodos personalizados de obtención de datos personales y financieros de las víctimas ". También se alegó que Bendelladj promocionaba SpyEye en foros de Internet dedicados a delitos cibernéticos y de otro tipo y operaba servidores de Comando y Control. Los cargos en Georgia se relacionan solo con SpyEye, ya que un servidor de control de botnets SpyEye tenía su base en Atlanta.

Prevención de la infección

[editar]

Aunque actualmente el troyano Zeus ya no esté activo, existen muchos otros, dentro del panorama del malware, que se nutren de su influencia, de esta manera a continuación se muestran algunos consejos que se pueden seguir con tal de evitar que los descendientes de Zeus accedan y roben la información personal del usuario:

  1. No descargar archivos adjuntos desconocidos o hacer clic en links de los que se desconoce el origen, o no son confiables, en cambio, se debe borrar el mensaje o email en cuestión.
  2. Aprender a reconocer los ataques de phishing, siempre que un contacto o una institución aparentemente legítima te pida información personal o financiera, se debe comprobar por otra vía si es legítimo y se puede confiar en la página, así como mirar que la URL sea la verdadera.
  3. No hacer clic en anuncios on-line, muchas veces están infectados por un malware y afectará al equipo, para asegurarse utilizar un adblocker (bloqueador de publicidad) o un navegador seguro.
  4. Siempre tener el software del equipo actualizado, ya que si no lo está puede ser más vulnerable a un malware infeccioso, además siempre intentar descargar el software deseado desde la página oficial y con licencia.
  5. Emplear un software de antivirus, puesto que un buen antivirus podrá detectar y bloquear cualquier intento de instalación de un malware basado en Zeus, así como poner el equipo en cuarentena y eliminar el malware si se consigue instalar en el sistema.

Posible retiro del creador

[editar]

A finales de 2010, varios proveedores de seguridad de Internet, incluidos McAfee e Internet Identity, afirmaron que el creador de Zeus había dicho que se retiraba y había otorgado el código fuente y los derechos para vender Zeus a su mayor competidor, el creador del troyano SpyEye. Sin embargo, esos mismos expertos advirtieron que el retiro fue una treta y esperan que el desarrollador regrese con nuevos trucos.

Sin embargo, más tarde en 2011, el creador del malware lanzó el código fuente al público, esta acción permitió y abrió las puertas a la creación de diferentes versiones mucho más nuevas y actualizadas del malware, es por esto, que a pesar de que actualmente el malware Zeus original ha sido neutralizado en su mayor medida, los componentes del troyano se siguen usando y desarrollando en un gran número de nuevos malwares.[1]

El legado de Zeus

[editar]

Después de la publicación de código fuente del malware Zeus original en 2011, fueron muchas de las maneras que se aprovecharon fragmentos de ese código, por ejemplo, Gameover ZeuS fue una de las muchas piezas de malware que se crearon sobre las bases y los cimentos del código fuente original. Una de las principales diferencias que este nuevo malware incorporó se basó en que a diferencia de su predecesor, este presentaba una estructura de botnet peer-to-peer encriptada, lo cual aumentaba mucho la dificultad de análisis por parte de las autoridades.

El nuevo malware Gameover ZeuS, también añadió a su función original de fraude bancario, la propagación del ransomware Cryptolocker, el cual es un tipo de malware que cifra los archivos en equipos Windows y, a continuación, exige el pago de un rescate a cambio de la clave de descifrado.[3]​ La manera de operar e infectar del ransomware Cryptolocker, es la misma, los usuarios, a través de los correos electrónicos de phishing, se unirían de manera involuntaria a la botnet creada a través de la cual serían infectados con el ransomware.[4]​ A pesar de que a través de una operación conocida como Operación Tovar en 2014, se consiguió crackear el malware Gameover ZeuS, no se pudo dar con el usuario/s responsables detrás de la creación del mismo, los cuales escaparon con aproximadamente 3 millones de cuotas de rescate.

GameoverZeuS fue el malware más conocido en utilizar el código del Zeus original, pero no fue el único, a continuación se muestran algunos de los otros malware que se inspiraron en Zeus[4]​:

  • Cthonic: Además de poder acceder a la información personal de la víctima, accede a la webcam y micrófono del equipo.
  • Citadel: Ese malware tiene como objetivo acceder al administrador de contraseñas, así como bloquear las páginas de diferentes proveedores de antivirus,
  • Atmos: Surgió en 2015 y tuvo como objetivo principal el acceso a los bancos, recopilando y almacenando datos financieros, y dejando rescates en su lugar.
  • Terdot: Aparte de buscar la información financiera de la víctima, intenta acceder a las credenciales de las redes sociales del usuario.

Referencias

[editar]
  1. a b c «Zeus Virus». usa.kaspersky.com (en inglés). 20 de abril de 2022. Consultado el 2 de mayo de 2022. 
  2. «Cómo eliminar el virus Zeus - Protegeme». www.protegeme.es. 2019-09-11GMT+000015:45:21+00:00. Consultado el 2 de mayo de 2022. 
  3. «Qué es el ransomware CryptoLocker y cómo eliminarlo». Qué es el ransomware CryptoLocker y cómo eliminarlo. Consultado el 2 de mayo de 2022. 
  4. a b «The Zeus Trojan: What it is, How it Works, and How to Stay Safe». The Zeus Trojan: What it is, How it Works, and How to Stay Safe (en inglés). Consultado el 2 de mayo de 2022. 

Enlaces externos

[editar]