Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

sábado, 17 de octubre de 2009

ZeuS, spam y certificados SSL

Como ya sabemos, las actividades delictivas propuestas por la botnet ZeuS a través de su familia de troyanos y a lo largo de ya dos años de gozar con la categorización In-the-Wild, se impone frente a otras actividades crimeware con un importante volumen de variantes que aún hoy siguen reclutando zombis proponiendo, como parte de su estrategia de engaño, nuevas alternativas.

En esta oportunidad, y como en otras, una de sus variantes se está diseminando por correo electrónico mostrando un mensaje que alude a la actualización manual del certificado SSL. El mensaje dice así:

"On October 16, 2009 server upgrade will take place. Due to this the system may be offline for approximately half an hour. The changes will concern security, reliability and performance of mail service and the system as a whole.

For compatibility of your browsers and mail clients with upgraded server software you should run SSl certificates update procedure. This procedure is quite simple. All you have to do is just to click the link provided, to save the patch file and then to run it from your computer location. That's all.

[Enlace malicioso]

Thank you in advance for your attention to this matter and sorry for possible inconveniences.

System Administrator"

Como es habitual en ZeuS, el ejemplar analizado presenta un patrón característico en la actualidad del malware, que se centra en la fusión de actividades propias de diferentes códigos maliciosos.

En este caso, posee un componente keylogger encargado de recolectar la información privada de los usuarios (nombres de usuarios, contraseñas, números de tarjetas de crédito, credenciales de acceso al Home-Banking) que utilizan la computadora comprometida. También establece una conexión con http://hostz-150909.com/zed1/table.bin para descargar su archivo de configuración.

Por otro lado, implanta en la zombi un backdoor a través del cual el atacante accede al sistema víctima sin demasiados inconvenientes; además de ejecutar actividades rootkit escondiendo los archivos maliciosos en una carpeta llamada "lowsec" (también oculta) que se crea en la carpeta de sistema. Los archivos son los siguientes:
  • %System%\lowsec\local.ds
  • %System%\lowsec\user.ds
  • %System%\lowsec\user.ds.lll
Todo controlado por el habitual archivo "sdra64.exe" característico de ZeuS que también crea en la carpeta de sistema; y a través de un módulo de auto-defensa intenta terminar los procesos del programa antivirus y del firewall.

Por suerte esta variante de ZeuS posee un índice de detección alto; sin embargo, estas acciones maliciosas son comunes de toda la familia de esta amenaza.

Según TrendMicro, esta nueva maniobra de ZeuS a través del correo estaría dirigida a los empleados de determinadas compañías; y a juzgar por la firma del mensaje (System Administrator) y que alude a una actualización manual del certificado SSL, el círculo de Ingeniería Social parece cerrarse.

Sin embargo, lo preocupante de todo esto, independientemente de sus maniobras y métodos de propagación, es la constancia que ZeuS sigue manteniendo a lo largo del tiempo desde la liberación de su código en el 2007 y de las distintas versiones, aunque antiguas, que pueden ser conseguidas sin demasiados esfuerzos.

Información relacionada
Eficacia de los antivirus frente a ZeuS
Especial!! ZeuS Botnet for Dummies
Botnet. Securización en la nueva versión de ZeuS
ZeuS Carding World Template. (...) la cara de la botnet
Entidades financieras en la mira de la botnet Zeus II
Entidades financieras en la mira de la botnet Zeus I
LuckySploit, la mano derecha de Zeus
ZeuS Botnet. Masiva propagación de su troyano II
ZeuS Botnet. Masiva propagación de su troyano I

Jorge Mieres

Ver más