Hoy, por primera vez, se ha filtrado un "parche" para el constructor de SpyEye (para la v3.1.45) según informa damballa. Un investigador de seguridad francés llamado Xyliton, parte del grupo de ingeniería reversa (RED Crew) fue capaz de localizar una copia del contrustor de SpyEye 1.3.45 y ha creado un tutorial que permite al lector romper la identificación de hardware (HWID), que utiliza SpyExe a través de VMProtect (una herramienta licenciada que bloquea la instalación de software en un dispositivo físico en particular).
El proceso de parcheado y cambio deID sobreescribe/borra el nombre del operador (que se encuentra entre [ XX ] en la parte superior izquierda, al ejecutar el constructor) por lo que el proceso de llama "zeros-out". Esto dificulta atribuirle un "autor" a cada uno de los binarios encontrados.
SpyEye normalmente costaría alrededor de U$S 10.000 o más. Sin embargo, dado que ya existe el código fuente y el tutorial para romper el DRM, los delincuentes comenzarán a aprovechar el kit masivamente.
Esta fuga es importante, ya que ilustra las técnicas de codificación del equipo Gribo-Demon’s team, los autores de SpyEye, y también asesta un nuevo golpe al ecosistema criminal.
Ahora que existe un crack para el constructor de SpyEye (la herramienta que genera el troyano de SpyEye), los investigadores de seguridad pueden comenzar la busqueda de vulnerabilidades en la aplicación. Esta es una cosa buena, especialmente si ya se tiene el SDK de SpyEye y sabe que APIs son capaces de ser explotadas con fines defensivos. Este enfoque también ayuda a las empresas de seguridad a comprender mejor las técnicas y métodos detrás de la última versión de SpyEye.Al mismo tiempo, esta fuga también pone al resto de nosotros sobre aviso porque los aspirantes a criminal puede comenzar a destrozar y mejorar SpyEye.
Cristian de la Redacción de Segu-Info
No hay comentarios.:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!