El código de botnet ZeuS cada vez mejor... para los criminales
10.000 dólares pueden comprar un módulo ZeuS que toma control completo de una PC comprometida.
Nuevas capacidades están reforzando la botnet ZeuS, la cual usan los criminales para robar credenciales financieras y ejecutar transacciones no autorizadas en banca electrónica, redes de cámara de compensación automatizadas y sistemas de pago de nóminas. La última versión de este juego de herramientas de crimeware, que cuesta a partir de los u$s 3.000, ofrece un módulo de u$s 10.000 que le permite a los atacantes tomar control completo de una PC comprometida.
Zeus v.1.3.4.x (los cambios de código siempre están en proceso por el autor y propietario, quien se cree que es un individuo en Europa del este) ha integrado en la botnet una poderosa función de control remoto de modo que el atacante ahora puede "tomar control completo de la PC de la persona," dice Don Jackson, director de inteligencia de amenazas de SecureWorks, quienes publicaron un informe detallado de ZeuS esta semana.
Esta nueva característica de ZeuS, que fue tomada de un viejo proyecto de dominio público de los Laboratorios Bell AT&T conocido como "Virtual Network Computing," le da a ZeuS una capacidad de control remoto que puede ser encontrada en productos legítimos como GoToMyPC, dice Jackson. SecureWorks le llama a esto "proxy de control total", y solo este módulo es tan útil para los criminales, que cuesta u$s 10.000.
El software troyano basado en Windows ZeuS, el cual toma cerca de unos 50.000 bytes de una computadora comprometida basada en Windows, está diseñado para saquear cuentas en los sistemas bancarios de Norteamérica y el Reino Unido mediante la computadora de la víctima. El criminal podría estar ubicado en otro continente, dirigiendo transferencias de fondos no autorizadas hacia cuentas mediante elaborados sistemas de control y comando.
ZeuS, alrededor de al menos 2007, "fue diseñado originalmente como un troyano spyware y tuvo buen marketing" y se volvió popular a medida que botnets de todo tipo proliferaban, dice Jackson.
Un grupo denominado UpLevel originalmente estaba trabajando de forma asociada en el código fuente de ZeuS. Pero actualmente los investigadores sospechan que hay un único autor de ZeuS, y este individuo ahora está ejerciendo un estrecho control sobre las versiones actuales de ZeuS 1.3 (y superiores) instituyendo un mecanismo de control contra copias basado en hardware.
El investigador de SecureWorks Kevin Stevens dice que el mecanismo de copyright basado en hardware de ZeuS está basado en un método de token de hardware, similar al WinLicense, que toma en cuenta muchos detalles de hardware de la computadora antes de permitir a un individuo desbloquear el conjunto de herramientas ZeuS Builder.
Versiones anteriores de ZeuS están disponibles gratuitamente, pero el precio de la actual y sus módulos, salidos desde fin del año pasado, no son baratos. En el bajomundo online criminal, los defraudadores suelen pagar por el crimeware a través de Western Union o Web Money, según SecureWorks.
De acuerdo a un informe publicado por SecureWorks esta semana, el kit básico de Zeus Builder ronda entre los u$s 3.000 y 4.000, con otros u$s 1.500 por el módulo "Backconnect" para conectarse secretamente a una máquina infectada para hacer transacciones financieras desde la misma. Esto significa que los bancos que intentan rastrear transferencias de dinero siempre las seguirán hasta la computadora del propietario de la cuenta. Para comprometer computadoras con Windows 7 o Vista, los criminales deberán apostar otros u$s 2.000 extra o quedarse limitados a sistemas Windows XP.
Un "robador de formularios para Firefox", que cuesta otros u$s 2.000, le permite a un criminal robarse los datos de los campos que son enviados usando el navegador Firefox, tales como nombre de usuario y contraseñas para bancos. Un "notificador por chat Jabber (IM)," cuesta otros u$s 500, le permite al atacante obtener inmediatamente la información robada para acceder a la cuenta de la victima después que la victima ingresó usando el token provisto por el banco para generar números aleatorios. Y el módulo VNC, que le permite al atacante eludir cualquier smartcard que sea requerida para transacciones de grandes sumas, cuesta u$s 10.000.
La última versión también está diseñada para sobrevolar las defensas mas actuales que hayan referentes a dos factores de autenticación en los sistemas bancarios, y está especialmente orientada a facilitar transacciones de muchos dolares,de 10.000 o más, destaca Jackson.
"ZeuS detecta automáticamente a los mejores, los blancos de nivel oro" asociados con servicios de banca en linea, dice Jackson. Se entrega una señal al controlador de la botnet, y se pueden hacer transacciones altamente automatizadas hacia las cuentas deseadas por el atacante.
Hay muchas historias que comienzan a aparecer de compañías que se quejan por transferencias ACH no autorizadas, o falsos empleados agregados a sistemas de nóminas automatizados, en las cuales sumas elevadas son transferidas a cuentas donde los bancos o no quieren o no pueden recuperar esas sumas.
Jackson dice que la última versión de ZeuS puede eludir la mayoría de los mecanismos más avanzados de autenticación usados actualmente por los bancos, con quizás la excepción de procesos de aprobación de transacciones basados en al menos dos personas, a menudo elegidas al azar de un grupo de personas entrenadas con ese propósito, quienes manualmente autorizan una transferencia. "Esta es una carrera armamentista," dice.
La próxima versión de ZeuS, v.1.4, aun está en beta pero promete aún mas características mortales. Su capacidad "Inyección Web para Firefox", por ejemplo, permitiría al atacante presentar una pantalla al vuelo en el navegador Firefox para obtener más información sensible durante la transacción bancaria pretendiendo que el banco necesita la información. El troyano ZeuS también tiene ahora cifrado polimórfico para re-cifrarse a si mismo para parecer como algo único cada vez, y por lo tanto aún más difícil de detectar para los antivirus.
Traducción: Raúl Batista - Segu-info
Autor: Ellen Messmer
Fuente: Networkworld
Nuevas capacidades están reforzando la botnet ZeuS, la cual usan los criminales para robar credenciales financieras y ejecutar transacciones no autorizadas en banca electrónica, redes de cámara de compensación automatizadas y sistemas de pago de nóminas. La última versión de este juego de herramientas de crimeware, que cuesta a partir de los u$s 3.000, ofrece un módulo de u$s 10.000 que le permite a los atacantes tomar control completo de una PC comprometida.
Zeus v.1.3.4.x (los cambios de código siempre están en proceso por el autor y propietario, quien se cree que es un individuo en Europa del este) ha integrado en la botnet una poderosa función de control remoto de modo que el atacante ahora puede "tomar control completo de la PC de la persona," dice Don Jackson, director de inteligencia de amenazas de SecureWorks, quienes publicaron un informe detallado de ZeuS esta semana.
Esta nueva característica de ZeuS, que fue tomada de un viejo proyecto de dominio público de los Laboratorios Bell AT&T conocido como "Virtual Network Computing," le da a ZeuS una capacidad de control remoto que puede ser encontrada en productos legítimos como GoToMyPC, dice Jackson. SecureWorks le llama a esto "proxy de control total", y solo este módulo es tan útil para los criminales, que cuesta u$s 10.000.
El software troyano basado en Windows ZeuS, el cual toma cerca de unos 50.000 bytes de una computadora comprometida basada en Windows, está diseñado para saquear cuentas en los sistemas bancarios de Norteamérica y el Reino Unido mediante la computadora de la víctima. El criminal podría estar ubicado en otro continente, dirigiendo transferencias de fondos no autorizadas hacia cuentas mediante elaborados sistemas de control y comando.
ZeuS, alrededor de al menos 2007, "fue diseñado originalmente como un troyano spyware y tuvo buen marketing" y se volvió popular a medida que botnets de todo tipo proliferaban, dice Jackson.
Un grupo denominado UpLevel originalmente estaba trabajando de forma asociada en el código fuente de ZeuS. Pero actualmente los investigadores sospechan que hay un único autor de ZeuS, y este individuo ahora está ejerciendo un estrecho control sobre las versiones actuales de ZeuS 1.3 (y superiores) instituyendo un mecanismo de control contra copias basado en hardware.
El investigador de SecureWorks Kevin Stevens dice que el mecanismo de copyright basado en hardware de ZeuS está basado en un método de token de hardware, similar al WinLicense, que toma en cuenta muchos detalles de hardware de la computadora antes de permitir a un individuo desbloquear el conjunto de herramientas ZeuS Builder.
Versiones anteriores de ZeuS están disponibles gratuitamente, pero el precio de la actual y sus módulos, salidos desde fin del año pasado, no son baratos. En el bajomundo online criminal, los defraudadores suelen pagar por el crimeware a través de Western Union o Web Money, según SecureWorks.
De acuerdo a un informe publicado por SecureWorks esta semana, el kit básico de Zeus Builder ronda entre los u$s 3.000 y 4.000, con otros u$s 1.500 por el módulo "Backconnect" para conectarse secretamente a una máquina infectada para hacer transacciones financieras desde la misma. Esto significa que los bancos que intentan rastrear transferencias de dinero siempre las seguirán hasta la computadora del propietario de la cuenta. Para comprometer computadoras con Windows 7 o Vista, los criminales deberán apostar otros u$s 2.000 extra o quedarse limitados a sistemas Windows XP.
Un "robador de formularios para Firefox", que cuesta otros u$s 2.000, le permite a un criminal robarse los datos de los campos que son enviados usando el navegador Firefox, tales como nombre de usuario y contraseñas para bancos. Un "notificador por chat Jabber (IM)," cuesta otros u$s 500, le permite al atacante obtener inmediatamente la información robada para acceder a la cuenta de la victima después que la victima ingresó usando el token provisto por el banco para generar números aleatorios. Y el módulo VNC, que le permite al atacante eludir cualquier smartcard que sea requerida para transacciones de grandes sumas, cuesta u$s 10.000.
La última versión también está diseñada para sobrevolar las defensas mas actuales que hayan referentes a dos factores de autenticación en los sistemas bancarios, y está especialmente orientada a facilitar transacciones de muchos dolares,de 10.000 o más, destaca Jackson.
"ZeuS detecta automáticamente a los mejores, los blancos de nivel oro" asociados con servicios de banca en linea, dice Jackson. Se entrega una señal al controlador de la botnet, y se pueden hacer transacciones altamente automatizadas hacia las cuentas deseadas por el atacante.
Hay muchas historias que comienzan a aparecer de compañías que se quejan por transferencias ACH no autorizadas, o falsos empleados agregados a sistemas de nóminas automatizados, en las cuales sumas elevadas son transferidas a cuentas donde los bancos o no quieren o no pueden recuperar esas sumas.
Jackson dice que la última versión de ZeuS puede eludir la mayoría de los mecanismos más avanzados de autenticación usados actualmente por los bancos, con quizás la excepción de procesos de aprobación de transacciones basados en al menos dos personas, a menudo elegidas al azar de un grupo de personas entrenadas con ese propósito, quienes manualmente autorizan una transferencia. "Esta es una carrera armamentista," dice.
La próxima versión de ZeuS, v.1.4, aun está en beta pero promete aún mas características mortales. Su capacidad "Inyección Web para Firefox", por ejemplo, permitiría al atacante presentar una pantalla al vuelo en el navegador Firefox para obtener más información sensible durante la transacción bancaria pretendiendo que el banco necesita la información. El troyano ZeuS también tiene ahora cifrado polimórfico para re-cifrarse a si mismo para parecer como algo único cada vez, y por lo tanto aún más difícil de detectar para los antivirus.
Traducción: Raúl Batista - Segu-info
Autor: Ellen Messmer
Fuente: Networkworld
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!