El notorio malware Zeus puede transmitir daos robados inmediatamente usando un módulo de mensajería instantánea
Una de las piezas de malware en circulación más sofisticadas tiene una
actualización que le permite a los cibercriminales actuar aún más
rápidamente después de que han robado datos de una PC.
De acuerdo a la compañía de seguridad RCA, el troyano Zeus –culpado
por permitir incontables delitos a cuentas de banco en línea – ahora
usa un componente de mensajería instantánea que alerta a los hackers
inmediatamente cuando han capturado las credenciales de autenticación
de alguien. Eso puede permitir el rápido uso de información sensible
al tiempo, como contraseñas de un solo uso, ahora usadas
frecuentemente en la banca en línea.
Zeus no es la primera pieza de malware que emplea la mensajería
instantánea, puntualiza RSA en su Reporte de Fraude En Línea para
agosto. Se encontró que otro programa que roba contraseñas llamado
Sinowal también lo usaba en 2008.
Una vez que está en una PC, Zeus envía nombres de usuarios y
contraseñas a un servidor remoto, al cual el hacker debe acceder y
descifrar. RSA, encontró que varias variantes de Zeus tienen un módulo
Jabber de mensajería instantánea. El proyecto Jabber – así como otros
servicios como la característica de chat de el GMail de
Google—utilizan XMPP (Mensajería Extensible y Protocolo de Presencia o
Extensible Messaging and Presence Protocol), un estándar abierto para
la mensajería instantánea.
El hacker establece dos cuentas Jabber, una para enviar información y
una para recibirla. Cuando Zeus obtiene los nombres de usuarios, los
envía a un servidor remoto. El módulo Jabber entonces busca
credenciales para instituciones financieras específicas y entonces
transmite la información al hacker a través de mensajería instantánea,
dijo RSA.
El número de computadoras en EE UU, solamente, infectadas con Zeus se
estimó el mes pasado en 3.6 millones de computadoras por la compañía
de seguridad Damballa, haciéndolo uno de los programas de software
malicioso más común y una botnet muy grande.
Los usuarios pueden infectarse si no han instalado los últimos parches
de seguridad en sus computadoras y han visitado páginas web diseñadas
para buscar automáticamente vulnerabilidades de software y entonces
entregan el malware. Zeus también puede ser instalado inadvertidamente
en una computadora si una persona es engañada para que abra un archivo
adjunto en un correo electrónico que contenga Zeus.
Zeus, el cual se cree fue producido por un hacker ruso que usa el
nombre de A-Z, es vendido en foros subterránea a aspirantes a
cibercriminales, de acuerdo a otra compañía de seguridad, Secureworks.
Puede ser personalizado de acuerdo a las necesidades de los
compradores. Por ejemplo, Zeus puede ser codificado para sólo buscar
los detalles de nombres de usuarios de una lista específica de sitios web.
“El programa cybercriminal fácil de usar, Zeus, para que los individuos
puedan crear su propia red de troyanos a la medida, se ha
convertido en una herramienta para favorecer a los criminales
principiantes, para que se involucren en la economía subterránea”, de
acuerdo a Peter Coogan de Symantec, quien escribió en uno de los blogs
de la compañía. “La gran disponibilidad de esta herramienta en foros
subterráneos últimamente, ha llevado a que también se incremente su
uso”.
Zeus ha estado en el radar de profesionales de la seguridad desde hace
un tiempo, y un grupo tiene un sitio web que rastreas infecciones de
Zeus y servidores de comando y control, los cuales pueden emitir
instrucciones a las PC infectadas.
El ZeuS Tracker ahora cuenta 802 host maliciosos con Zeus. La
organización también publica una lista de bloqueo que los
administradores pueden usar para asegurarse de que las personas en su
red no accedan a dominios peligrosos relacionados con Zeus.
Por Jeremy Kirk
IDG News Service (Agencia de Londres)