1. Zeus, un malware muy particular

Los últimos datos muestras que los servidores que controlan a Zeus siguen plenamente operativos a pesar de la operación internacional de la semana pasada. El botnet Zeus sigue siendo una red fuerte difícil de destruir a pesar de las docenas de personas arrestadas la semana pasada, acusadas de robar dinero de cuentas de bancos online.

Zeus es un software malicioso bastante avanzado capaz de interceptar detalles de cuentas bancarias y realizar transferencias. Entre sus “ventajas”  puede citarse la capacidad de infectar ordenadores que tienen programas con vulnerabilidades que aún no se han parcheado.

La semana pasada, durante una operación internacional, se arrestó a más de cien personas, principalmente de Europa del Este, aunque también hubo individuos afectados en Estados Unidos y Reino Unido acusados de blanqueo de dinero, fraude de documentos y conspiración. Los detenidos forman parte de una red que presuntamente ha robado más de 260 millones de dólares a empresas y particulares.

Entre las particularidades de este troyano es que se ha aprovechado de un nuevo método de validación que la banca online ha empezado a utilizar durante el pasado año, que es el envío de un PIN a través de SMS. Emilio Castellote, director de marketing de producto de Panda Security explica que la novedad de Zeus es además de los datos de usuario y contraseña, solicita el número de móvil, y hasta la marca del móvil, lo que a los hacker les vale para enviar un programa diseñado a medida para ese terminal. “La gran novedad de Zeus es que da el salto al móvil”, afirma Castellote. De forma que cuando el bando envía ese pin de validación el troyano, ya instalado en el terminal, lo reenvía sin conocimiento del usuario y es cuando pueden realizar transferencias. “Hasta ahora, asegura Castellote, ese PIN era casi imposible de conseguir salvo que te robaran el móvil”.

2. Un kit de 700 dólares

Emilio Castellote coincide con David Sancho, Senior Antimalware Researcher, en que además de haber unido una amenaza de PC con una móvil, Zeus tiene otros muchos secretos.

“La razón por la que Zeus sigue vivo incluso después de los arrestos es más profunda de lo que inicialmente pueda parecer”, asegura David Sancho. Y es que, como explicar el ejecutivo de Trend Micro, “Zeus no es una botnet sino un kit para crear botnets”.

Zeus Crimerware Kit se vende en internet por 700 dólares, asegura Castellote, un precio que incluye el troyano, un panel de control web y un generador de troyano, lo que hace que sea casi imposible acabar con el malware.

Para David Sancho “aunque algunos de estos grupos hayan sido detenidos, otros grupos similares continúan operando de igual manera. Calculamos que en cualquier momento, existen unos cuantos cientos de botnets basadas en el software Zeus. Mientras los creadores del software sigan desarrollándolo y consigan clientes que sigan manteniendo redes zombie, el problema de las botnets basadas en Zeus continuará afectando al ciberespacio”.

La conclusión es que debemos ser prudentes. “Hay que desconfiar de todo”, asegura Emilio Castellote, que también recomienda no instalar cualquier cosa de cualquier parte y tener muy presente que “en ningún momento el banco nos va a pedir ningún tipo de información”.

3. Poco apoyo de ISPs y registradores de dominios

Como hemos comentado los arrestos no parecen haber tenido un impacto técnico en el botnet Zeus. De hecho el pasado viernes todavía había 170 servidores de control de Zeus activos, según las estadísticas actualizadas tres veces al día por parte de las empresas de Zeus Tracker en base a datos de las empresas de seguridad y otras fuentes.

Zeus Tracker, cuyo responsable no quiere ser identificado, registra alguna de las informaciones más importantes para los que están siguiendo la actividad de Zeus, como los ISP que alojan dominios infectados
Para que un servidor de control, conocidos como command-and-control (C&C), sea eliminado de Internet deben ocurrir cualquiera de las tres cosas siguientes: el bot Zeus, el programa, debe ser eliminado de un ordenador por un programa de seguridad; el registrador puede cancelar el nombre de dominio o un ISP puede desactivar, dejar offline un servidor que esté infectado.

Pero los investigadores de seguridad tienen problemas para que los registradores o ISPs tomen las medidas pertinentes. La semana pasada Zeus Tracker mostró que el registrador ruso Reg.ru vendió diez nombres de registro que ahora se están utilizando para actividades relacionadas con Zeus. Siete de estos nombres de dominio están redirigidos a uno que recientemente alojaba archivos Zeus; al menos dos redirigen a dominios activos desde el pasado 7 de septiembre y otros cuatro a otros activos desde el 12 de septiembre. Es más, el nombre de dominio más reciente vendido a través de Reg.ru fue añadido a la red de Zeus el pasado miércoles y ha tenido dos tipos de archivos Zeus que se han eliminado en los últimos días. Esto puede deberse a que los propietarios del dominio han descubierto la infección y han eliminado los archivos afectados.