Investigadores de seguridad analizan la primera muestra de malware de una mezcla entre los toolkits troyanos SpyEye y ZeuS.
Posts del submundo de foros de Rusia publicados el año pasado, sugieren que Slavik/Monstr, el autor de ZeuS se “retiraba” del cibercrimen y le dejaba el código de ZeuS a Gribodemon/Harderman, el autor de SpyEye. Zeus ha sido una de las herramientas preferidas para fraudes bancarios, SpyEye es un malware más nuevo e incluso más agresivo. Tanto ZeuS como SpyEye son usados comercialmente para crear troyanos a la medida, típicamente usados para robar las credenciales de acceso a sistmas bancarios en máquinas comprometidas.
Los primeros frutos del codigo mezclado, SpyEye builder version 1.3.05, ilustra la sofisticación de estos toolkits del crimen cibernético, según reportes de Trend Micro. La herramienta de creación de malware incluye opciones para construir inyecciones web complejas, capturas de pantalla, así como ganchos (hooks) como complementos adicionales. La funcionalidad básica incluye código diseñado para evitar las transacciones del software de seguridad Trusteer Rapport, una aplicación de seguridad ofrecida a clientes de muchos bancos como una defensa ante los troyanos bancarios.
La nueva funcionalidad muestra que los usuarios maliciosos están intentando desarrollar herramientas para evadir los últimos desarrollos de los expertos en seguridad. Trusteer, quien aún debe recibir y evaluar muestras de la última versión de SpyEye, declaró el martes que estaba seguro de que sus defensas harían su trabajo.
Ejecutamos una evaluación completa de Rapport contra miles de muestras recientes de SpyEye y Zeus, incluyendo varias que supuestamente hacían referencia al nuevo híbrido entre SpyEye y Zeus. Se comportaron justo como las muestras típicas de SpyEye, todas ellas fueron usadas correctamente por Rapport y ninguna lo afectó significativamente.
Rapport tiene varios mecanismos capaces de detectar ataques dirigidos a sus archivos. No hemos detectado ninguna actividad sospechosa reciente reportada por estos mecanismos.
Los plug-ins adicionales de las nuevas versiones de SpyEye incluyen la habilidad de presentar a los usuarios de las máquinas comprometidas páginas falsas con ataques mejorados en contra de los usuarios de Firefox. “El paquete básico de SpyEye sólo roba los certificados del repositorio criptográfico de Windows”, señala Loucif Kharouni, un investigador de amenzas de Trend Micro. “Sin embargo, Firefox usa su propio directorio de almacenamiento de claves, de donde la plug-inffcertgrabber roba los certificados”.
El toolkit de los criminales también incluye herramientas para robar información de tarjetas de crédito, que funciona al analizar la solicitud de POST realizada por los usuarios, contra el algoritmo Luhn indico Trend.
Los plug-ins de tarjeta de crédito y anti-rapport son las últimas adiciones integradas en las versiones más nuevas de SpyEye, el cual ya entró en producción. Trend Micro señala que dos servidores están usando la misma versión del malware.
Varias versiones de Zeus han sido liberadas desde que Slavik supuestamente dejó el crimen informático, en octubre pasado, algunas de las cuales incluyen esta nueva funcionalidad. No está claro quien la desarrolló, pero es posible que haya sido agregado por Slavik. (DB)
Fuente: The Register
