La botnet Zeus roba 36 millones de euros de usuarios de bancos europeos
Se ha detectado un ataque de una variante de Zeus que se ha iniciado en Italia y extendido por Alemania, España y Holanda, afectando a más de 30.000 cuentas de bancos europeos.
Han sido Check Point y el experto en prevención de fraude Versafe quienes han descubierto el ataque, que se ha originado en Italia y que se ha extendido rápidamente a Alemania, España y Holanda. Para ello se ha utilizado una variante de Zeus a la que se ha bautizado como Eurograbber y que no sólo estaba dirigido contra ordenadores sino contra dispositivos móviles.
Eurograbber fue lanzado contra clientes de banda corporativos y privados infectando primer los ordenadores de las víctimas y después sus teléfonos móviles con el fin de interceptar los mensajes SMS que envían los bancos según un proceso de autenticación de doble factor que validad la operación de banca online.
Con la información robada y el número de autenticación de la transacción, los atacantes realizan transferencias automáticas de fondos, de entre 500 y 250.000 euros, de las cuentas de las víctimas a cuentas de muleros repartidos por toda Europa. Los terminales basados en Android y en Blakcberry han sido objeto de especial atención por parte de los cibercriminales.
En el estudio publicado por Check Point y Versafe se asegura que los ciberataques son cada vez más “sofisticados” y “creativos” que antes y que Eurograbber ha demostrado que los atacantes se centran en el enlace más débil: las personas que están detrás de los dispositivos, y que además se están utilizando técnicas sofisticadas capaces de lanzar ataques muy automatizados que evitan ser rastreados.
Durante la primera session de banca online del cliente después de que su ordenador sea infectado, Eurograbber inyecta instrucciones en la sesión que incita al cliente a introducir el número de su teléfono móvil, explican las empresas de seguridad. Después se le pida que complete una actualización de seguridad para lo que debe seguir unas instrucciones enviadas a su móvil a través de un SMS, aunque lo que finalmente ocurre es que se descarga una variante de Zeus, ZitMo (Zeus in the Mobile), diseñado específicamente para interceptar los SMS que envían los bancos para validar las transacciones. Después, Eurograbber utiliza ese código enviado a través de SMS para completar su propia transacción y transferir dinero de la cuenta del usuario.
Toda la actividad de Eurograbber se produce en segundo plano. Una vea que se ha completado esa actualización de seguridad, el cliente es monitorizado y controlado por el malware y las sesiones de banca online no ofrecen ninguna evidencia de actividad ilícita.