Zeus (programari maliciós)
Aquest article (o aquesta secció) necessita alguna millora en els seus enllaços interns. |
Zeus, ZeuS o Zbot és un paquet de codi maliciós troià que s'executa en versions de Microsoft Windows. Aquest programari maliciós es pot utilitzar per dur a terme diverses tasques delictives i malicioses, de manera que busca, reuneix i transmet a tercers, tota aquella informació privada i confidencial de l'usuari a tercers, tit i així, moltes vegades es fa servir per robar informació bancària a través del registre de tecles del navegador i l'acaparament de formularis, a més també es fa servir per instal·lar el ransomware CryptoLocker.
Tipus | botnet, programari maliciós i Rootkit |
---|---|
Zeus es propaga principalment a través de descàrregues drive-by i esquemes de phishing. Va ser identificat per primera vegada el juliol de 2007, quan es va utilitzar per robar informació del Departament de Transport dels Estats Units, i es va generalitzar el març de 2009. El juny de 2009, l'empresa de seguretat Prevx va descobrir que Zeus havia compromès més de 74.000 comptes de FTP a llocs web d'empreses com Bank of America, NASA, Monster.com, ABC, Oracle, Play.com, Cisco, Amazon i BusinessWeek.
De manera semblant a Koobface, Zeus també s'ha utilitzat en nombroses ocasions per poder enganyar persones i conertir-les en víctimes d'estafes de suport tècnic per tal que donin diners als estafadors a través de missatges emergents que afirmen que l'usuari té un virus, quan en realitat aquest podria no existir. Els estafadors solen utilitzar programes com el símbol del sistema o el visor d'esdeveniments per fer que l'usuari cregui que el seu ordinador està infectat.
Afectació
modificaPrimer de tot, per dur a terme l'afectació del sistema operatiu, aquest codi maliciós crea una botnet, aquesta fa referència a una xarxa de màquines corruptes, controlades per un servidor de control i comandament, els quals es troben sota el control del propiertari del codi maliciós, a més, una botnet fa que el propietari pugui llençar una sèrie d'atacs massius, així com recopilar grans quantitats d'informació per robar-la o per aplicar un ransomware.
Com ja s'ha comentat anteriorment, Zeus també actua com un troià dissenyat per robar credencials financeres i bancàries dels sistemes que infecta a través de la supervisió del lloc web i el registre de tecles, d'aquesta manera el codi maliciós reconeix quan un usuari es troba en un lloc web bancari determinat, i enregistra les pulsacions a través de les tecles per poder iniciar sessió, aquest inici de sessió es duu a terme a mesura que l'usuari va ingressant les credencials.[1]
Originalment, hi ha dos mètodes principals pels quals es dona la infecció del sistema:[1]
- Missatges d'spam: normalment aquests missatges solen venir en format de correu electrònic, però també es van donar ocasions en què es van dissenyar campanyes en xarxes socials per difondre el codi maliciós (malware), de manera que una vegada l'usuari faci clic a l'enllaç de l'email o del missatge, són automàticament redirigits a una pàgina que descarrega a través de la qual s'instal·la el codi maliciós (malware). Ja que una de les principals funcions d'aquest virus és robar credencials d'inici de sessió, de vegades pot ser configurat i adaptat perquè robi les credencials de les xarxes socials de l'usuari, per tal de difondre missatges de correu brossa a tots els contactes de la persona, i una vegada la persona l'obra, la situació amb la nova víctima es repeteix.
- Descàrregues no autoritzades: aquestes succeeixen quan les persones darrere del malware aconsegueixen convertir una pàgina legítima en corrupta, inserint el codi maliciós desitjat a la pàgina web en la qual els usuaris confien, d'aquesta manera, quan l'usuari intenta descarar alguna cosa o simplement visita la pàgina, el codi maliciós és instal·lat.
Detecció
modificaZeus és molt difícil de detectar, fins i tot amb un antivirus actualitzat i un altre programari de seguretat, ja que s'amaga utilitzant diverses tècniques. Damballa va estimar que el Zeus va infectar 3,6 milions d'equips als EUA el 2009. Els experts en seguretat aconsellen que les empreses conscients els usuaris i se'ls ensenyi a no fer clic a enllaços hostils o sospitosos de correus electrònics o llocs web, ia mantenir la protecció antivirus actualitzada. El programari antivirus no pretén prevenir infeccions de manera fiable; per exemple, la protecció del navegador de Symantec diu que podeu prevenir "alguns intents d'infecció".
Com ja s'ha dit, la detecció d'aquest codi maliciós és complicada, ja que no sol afectar i procedir de la mateixa manera en tots els equips, ja que dependrà de la versió del virus que s'hagi descarregat i hagi infectat el sistema. En casos específics, el programari maliciós pot arribar al control de determinades funcions administratives de l'equip, per la qual cosa si ho aconsegueix, aquest virus s'allotjarà a la carpeta System de l'equip sota algun dels següents noms o executables, la qual cosa pot facilitar-ne la detecció:[2]
- sdra64.exe
- oembios.exe
- twext.exe
- pdfupd.exe
- ntos.exe
Mesures severes d'FBI
modificaL'FBI dels Estats Units, a l'octubre de 2010, va anunciar que els hackers a Europa de l'Est havien aconseguit infectar ordinadors a tot el món utilitzant Zeus. El virus es va distribuir a través d'un correu electrònic, i quan individus de seleccionats negocis i municipalitats van obrir el correu electrònic, el programari troià es va instal·lar a l'ordinador de la víctima, capturant de manera secreta les contrasenyes, números de compte i altres dades utilitzades per iniciar sessió a la banca en línia.
Els pirates informàtics després van utilitzar aquesta informació per fer-se càrrec dels comptes bancaris de les víctimes i realitzar transferències no autoritzades de milers de dòlars alhora, sovint enviant els fons a altres comptes controlats per una xarxa de mules de diners, pagant una comissió. Moltes de les mules de diners dels EUA van ser reclutades a l'estranger. Van crear comptes bancaris utilitzant documents falsos i noms falsos. Quan els diners eren als comptes, les mules els redirigirien als seus caps a Europa de l'Est, o els retirarien en efectiu i els traurien clandestinament del país.
Més de 100 persones van ser arrestades per càrrecs de conspiració per cometre frau bancari i rentat de diners, més de 90 als Estats Units i altres al Regne Unit i Ucraïna. Els membres de l'anell havien robat 70 milions de dòlars.
El 2013, Hamza Bendelladj, conegut com Bx1, va ser arrestat a Tailàndia i deportat a Atlanta, Geòrgia, EUA Els primers informes deien que ell era el cervell darrere de ZeuS. Va ser acusat d'operar SpyEye (un bot funcionalment similar a ZeuS) botnets, i se sospita que també opera amb botnets Zeus. Va ser acusat de diversos càrrecs de frau electrònic i frau i abús informàtic. Els documents de la cort al·leguen que de 2009 a 2011 Bendelladj i altres "van desenvolupar, comercialitzar i van vendre diverses versions del virus SpyEye i els seus components a Internet i van permetre que els ciberdelinqüents personalitzessin les seves compres per incloure mètodes personalitzats d'obtenció de dades personals i financeres de les víctimes”. També es va al·legar que Bendelladj promocionava SpyEye a fòrums d'Internet dedicats a delictes cibernètics i d'altres tipus i operava servidors de Comando i Control. Els càrrecs a Geòrgia es relacionen només amb SpyEye, ja que un servidor de control de botnets SpyEye tenia la base a Atlanta.
Prevenció de la infecció
modificaTot i que actualment el troià Zeus ja no estigui actiu, n'hi ha de molts altres dins del panorama del codi maliciós que es nodreixen de la seva influència, d'aquesta manera a continuació es mostren alguns consells que es poden seguir per evitar que els descendents de Zeus accedeixin i robin la informació personal de l'usuari:
- No descarregar fitxers adjunts desconeguts o fer clic a links dels quals es desconeix l'origen, o no són fiables, en canvi, s'ha d'esborrar el missatge o email en qüestió.
- Aprendre a reconèixer els atacs de phishing, sempre que un contacte o una institució aparentment legítima et demani informació personal o financera, s'ha de comprovar per una altra via si és legítim i es pot confiar a la pàgina, així com mirar que la URL sigui la veritable .
- No fer clic a anuncis on-line, moltes vegades estan infectats per un codi maliciós i afectarà lequip, per assegurar-se utilitzar un adblocker (bloquejador de publicitat) o un navegador segur.
- Sempre tenir el programari de lequip actualitzat, ja que si no ho està pot ser més vulnerable a un malware infecciós, a més sempre intentar descarregar el programari desitjat des de la pàgina oficial i amb llicència.
- Emprar un programari d'antivirus, ja que un bon antivirus podrà detectar i bloquejar qualsevol intent d'instal·lació d'un codi maliciós basat en Zeus, així com posar l'equip en quarantena i eliminar el codi maliciós si s'aconsegueix instal·lar al sistema.
Possible retir del creador
modificaA finals de 2010, diversos proveïdors de seguretat d'Internet, inclosos McAfee i Internet Identity, van afirmar que el creador de Zeus havia fet públic que es retirava i havia atorgat el codi font i els drets per vendre Zeus al seu competidor més gran, el creador del troià SpyEye. No obstant, aquests mateixos experts van advertir que el retir va ser un estratagema i esperàven que el desenvolupador torni amb nous trucs.
No obstant això, més tard al 2011, el creador del codi maliciós va decidir llançar el codi font al públic, aquesta acció va desencadenar una sèrie de conseqüències, i va permetre que poguessin obrir les portes a la creació de diferents versions molt més noves i actualitzades del codi maliciós. D'aquesta manera, malgrat que actualment el codi maliciós Zeus original ha estat neutralitzat en la seva major mesura, els components del troià se segueixen usant i desenvolupant en un gran nombre de nous codis maliciosos.[1]
El llegat de Zeus
modificaSituant-nos just després que es donés la publicació del codi font maliciós del Zeus original al 2011, van ser moltes les maneres de les que es van aprofitar fragments d'aquest codi, per exemple, Gameover ZeuS va ser una de les moltes peces de programari maliciós que es van crear sobre les bases i els ciments del codi font original. Una de les principals diferències que aquest nou codi maliciós va incorporar es va basar que a diferència del seu predecessor, aquest presentava una estructura de botnet peer-to-peer encriptada, la qual cosa augmentava molt la dificultat d'anàlisi per part de les autoritats.
El nou codi maliciós Gameover ZeuS, també va afegir a la seva funció original de frau bancari, la propagació del ransomware Cryptolocker, el qual és un tipus de codi maliciós que xifra els arxius en equips Windows i, a continuació, exigeix el pagament d'un rescat a canvi de la clau de desxifrat.[3] La manera d'operar i d'infectar del ransomware Cryptolocker és la mateixa, els usuaris a través dels correus electrònics de phishing, s'unirien de manera involuntària a la botnet creada a través de la qual serien infectats amb el ransomware.[4] Tot i que a través d'una operació coneguda com a Operació Tovar el 2014, es va aconseguir crackejar el codi maliciós Gameover ZeuS, no es va poder trobar l'usuari/s responsables darrere de la creació del mateix, els quals van escapar amb aproximadament uns 3 milions de quotes de rescat.
GameoverZeuS fue el malware más conocido en utilizar el código del Zeus original, pero no fue el único, a continuación se muestran algunos de los otros malware que se inspiraron en Zeus:[5]
- Cthonic: A més de poder accedir a la informació personal de la víctima, accedeix a la càmera web i micròfon de l'equip.
- Citadel: Aquest codi maliciós té com a objectiu accedir a l'administrador de contrasenyes, així com bloquejar les pàgines de diferents proveïdors d'antivirus.
- Atmos: Va sorgir al 2015 i va tenir com a objectiu principal l'accés als bancs, recopilant i emmagatzemant dades financeres, i deixant rescats al seu lloc.
- Terdot: A banda de cercar la informació financera de la víctima, intenta accedir a les credencials de les xarxes socials de l'usuari.
Referències
modifica- ↑ 1,0 1,1 1,2 «Zeus Virus» (en anglès), 20-04-2022. [Consulta: 8 maig 2022].
- ↑ «Cómo eliminar el virus Zeus - Protegeme» (en castellà), 2019-09-11GMT+000015:45:21+00:00. [Consulta: 8 maig 2022].
- ↑ «Qué es el ransomware CryptoLocker y cómo eliminarlo» (en castellà-es). [Consulta: 8 maig 2022].
- ↑ «The Zeus Trojan: What it is, How it Works, and How to Stay Safe» (en anglès). [Consulta: 8 maig 2022].
- ↑ «The Zeus Trojan: What it is, How it Works, and How to Stay Safe» (en anglès). [Consulta: 2 maig 2022].
Aquest article té bibliografia, però no se sap quina referència verifica cada part. Podeu millorar aquest article assignant cadascuna d'aquestes obres a frases o paràgrafs concrets. |
- CryptoLocker Ransomware Information Guide and FAQ
- Hackers steal O.S. government, corporate data from PCs
- ZBot data dump discovered with over 74,000 FTP credentials
- How to Recognize a Fake Virus Warning
- Zeus Banking Trojan Report
- The Hunt for the Financial Industry's Most-Wanted Hacker
- Trojan.Zbot
- Cyber Banking Fraud
- CYBER BANKING FRAUD Global Partenariats Lead to Major Arrests
- More than 100 arrests, as FBI uncovers cyber crime ring
- Hamza Bendelladj: Is the Algerian hacker a hero?
- Alleged 'SpyEye' Botmaster Ends Up in America, Handcuffs, Kim Zetter, Wired, 3 maig 2013
Enllaços externs
modifica- "Mesurant l'en-el-efectivitat salvatge d'Antivirus contra Zeus" Estudio per empresa de seguretat de la Internet Trusteer.
- "België legt frau Va conèixer onlinebankieren bloot" article noticiós holandès sobre un bancari troià
- Zeus Código de font en GitHub
- Xarxa de zombis Bust - SpyEye Malware el cervell Advoca Culpable, FBI