Inicio > Alertas seguridad > Nueva campaña del malware Zbot aprovecha la imagen del Banco de España

Nueva campaña del malware Zbot aprovecha la imagen del Banco de España


Se ha detectado una impresionante campaña de difusión de una variante de Zbot que aprovecha la imagen del Banco de España. No nos consta que en el pasado se haya usado la imagen de esta entidad para difundir malware o para realizar ataques de phishing a este nivel. Hemos detectado unos 400 correos en nuestros buzones. Su estructura es:

***

Remitente: BDEresponde@bde.es

Asunto: Transferencia de [cantidad] euros. Remitente: [Nombre de persona]

Cuerpo: Estimado cliente, en su cuenta ha ingresado una transferencia de [cantidad] euros.

Remitente: Valencia Feliciano. ID de transacción:

ES000379002949199. Siga el enlace para consultar la información.

***

Las cantidades y los nombres de persona son aleatorios. El enlace está codificado con diferentes direcciones del servicio de 2url.org, que acorta las URL. En realidad redirige a otra página desde donde, aprovechando la imagen oficial del Banco de España, incita a la descarga de una archivo llamado “declaración.exe”.

Pueden ver una captura de pantalla:

El troyano analizado (insistimos en que puede ser modificado en cualquier momento) pertenece a la familia Zbot. Esto quiere decir que el infectado pasa a formar parte de una botnet de tipo “DIY” (”hágalo usted  mismo”). Zbot es una infraestructura para crear troyanos que une a los infectados en una botnet que se gestiona fácilmente a través de un panel de control web. El programa se vende en el mercado negro. Es una de las familias que más troyanos y variantes está generando en los últimos años. Se tienen constancia de redes botnet de este tipo desde octubre de 2007, manejadas tanto por el crimen informático organizado, como por atacantes ocasionales con un perfil mucho más bajo que infectan solo a algunas decenas de sistemas Windows. Desde entonces, se han publicado numerosas actualizaciones del kit de creación para mejorar el impacto del troyano.

Esta muestra en concreto, actúa de la forma “tradicional” con respecto a lo que se espera de un Zbot, con algunas diferencias. Descarga un archivo (de extensión .bin) en el sistema, que contiene la configuración con los objetivos (bancos) del ataque. Además, modifica el explorador de Windows para que los ficheros no sean vistos si no es por línea de comandos. Los datos robados son cifrados criptográficamente antes de ser enviados al atacante.

Ataca a numerosas cajas y bancos españoles además de otros de diferentes países, inyectando campos adicionales en la página legítima cuando la víctima los visita o robando las contraseñas directamente.

Además de eso, también obtiene las contraseñas de sitios populares como Facebook, Flickr, Amazon, MySpace…

Parece que los atacantes provienen de Rusia, puesto que el panel de control se encuentra en un servidor dedicado de este país. Las mafias rusas suelen realizar campañas muy estudiadas y virulentas como la que está protagonizando el Banco de España.

Para protegerse, las recomendaciones son las de siempre:

* Usar cuentas limitadas en Windows (aunque en el caso concreto de este ejemplar, no evita el ataque por completo).

* Actualizar el sistema y los programas.

* Mantenerse informado.

* Actualizar el antivirus.

En realidad, lo novedoso de este ataque radica en los recursos empleados (decenas de correos para maximizar su difusión) y el uso de la imagen de un banco “institucional” y de confianza para atraer a las víctimas. Por desgracia, al margen de este caso, Zbot seguirá dando guerra durante mucho tiempo; su facilidad de uso y sofisticación técnica lo hacen asequible para muchos atacantes y a la vez complicado para que los antivirus puedan detectar las innumerables variables a tiempo.

Fuente: http://www.hispasec.com/unaaldia/4252

VN:F [1.1.8_518]
¿Le ha parecido interesante? 5.0/5 (2 votos)

Martes, 15 de Junio de 2010 Dejar un comentario Ir a comentarios
  1. Miércoles, 9 de Mayo de 2012 a las 10:30 | #1

    como siempre ¡ Gracias ¡

    VA:F [1.1.8_518]
    ¿Le ha parecido interesante? 0.0/5 (0 votos)
  1. Sin trackbacks aún.