martes, 15 de junio de 2010

Nueva campaña del malware Zbot aprovecha la imagen del Banco de España

Se ha detectado una virulenta campaña de difusión de una variante de Zbot (también conocida como Zeus) que aprovecha la imagen del Banco de España para propagarse. El troyano se aloja en una página que incita a la descarga de una muestra que, en el momento del análisis, solo es detectada (con firmas estáticas) por dos antivirus.

Se ha detectado una impresionante campaña de difusión de una variante de Zbot que aprovecha la imagen del Banco de España. No nos consta que en el pasado se haya usado la imagen de esta entidad para difundir malware o para realizar ataques de phishing a este nivel. Hemos detectado unos 400 correos en nuestros buzones. Su estructura es:

***

Remitente:
BDEresponde@bde.es

Asunto:
Transferencia de [cantidad] euros. Remitente: [Nombre de persona]

Cuerpo:
Estimado cliente, en su cuenta ha ingresado una transferencia de [cantidad] euros. Remitente: Valencia Feliciano. ID de transacción: ES000379002949199. Siga el enlace para consultar la información.

***

Las cantidades y los nombres de persona son aleatorios. El enlace está codificado con diferentes direcciones del servicio de 2url.org, que acorta las URL. En realidad redirige a otra página desde donde, aprovechando la imagen oficial del Banco de España, incita a la descarga de una archivo llamado "declaración.exe".

Pueden ver una captura de pantalla en:
http://www.hispasec.com/images/unaaldia/bde.png

El troyano puede cambiar en cualquier momento, pero en el momento de su análisis (hacia las 8:00 CEST del 15 de junio) era solo detectado por dos antivirus (de los 41 de Virustotal.com):

Panda Suspicious file
Sophos Mal/Zbot-U

Mientras que en horas posteriores, se unieron:

Kaspersky Trojan-Spy.Win32.Zbot.akgz
DrWeb Trojan.Packed.20343
eSafe Win32.Corrupt.Ep

Cabe recordar que los resultados obtenidos al enviar una muestra a Virustotal.com son analizados de forma estática, por tanto pueden diferir de los que un usuario obtendría con el antivirus instalado en su sistema.

El troyano analizado (insistimos en que puede ser modificado en cualquier momento) pertenece a la familia Zbot. Esto quiere decir que el infectado pasa a formar parte de una botnet de tipo "DIY" ("hágalo usted mismo"). Zbot es una infraestructura para crear troyanos que une a los infectados en una botnet que se gestiona fácilmente a través de un panel de control web. El programa se vende en el mercado negro. Es una de las familias que más troyanos y variantes está generando en los últimos años. Se tienen constancia de redes botnet de este tipo desde octubre de 2007, manejadas tanto por el crimen informático organizado, como por atacantes ocasionales con un perfil mucho más bajo que infectan solo a algunas decenas de sistemas Windows. Desde entonces, se han publicado numerosas actualizaciones del kit de creación para mejorar el impacto del troyano.

Esta muestra en concreto, actúa de la forma "tradicional" con respecto a lo que se espera de un Zbot, con algunas diferencias. Descarga un archivo (de extensión .bin) en el sistema, que contiene la configuración con los objetivos (bancos) del ataque. Además, modifica el explorador de Windows para que los ficheros no sean vistos si no es por línea de comandos. Los datos robados son cifrados criptográficamente antes de ser enviados al atacante.

Ataca a numerosas cajas y bancos españoles además de otros de diferentes países, inyectando campos adicionales en la página legítima cuando la víctima los visita o robando las contraseñas directamente. Además de eso, también obtiene las contraseñas de sitios populares como Facebook, Flickr, Amazon, MySpace...

Entre otros cambios, modifica las zonas de Internet Explorer para relajar su seguridad. Se copia en la carpeta %appdata%, esto es "C:\Users\[usuario]\AppData\Roaming" en el caso de Windows Vista y 7; "C:\Documents and Settings\[uduario]\Datos de programa" en el caso de XP, siempre dentro de carpetas con nombres aleatorios.

Parece que los atacantes provienen de Rusia, puesto que el panel de control se encuentra en un servidor dedicado de este país. Las mafias rusas suelen realizar campañas muy estudiadas y virulentas como la que está protagonizando el Banco de España.

Para protegerse, las recomendaciones son las de siempre:

* Usar cuentas limitadas en Windows (aunque en el caso concreto de este ejemplar, no evita el ataque por completo).
* Actualizar el sistema y los programas.
* Mantenerse informado.
* Actualizar el antivirus.

En realidad, lo novedoso de este ataque radica en los recursos empleados (decenas de correos para maximizar su difusión) y el uso de la imagen de un banco "institucional" y de confianza para atraer a las víctimas. Por desgracia, al margen de este caso, Zbot seguirá dando guerra durante mucho tiempo; su facilidad de uso y sofisticación técnica lo hacen asequible para muchos atacantes y a la vez complicado para que los antivirus puedan detectar las innumerables variables a tiempo.


Sergio de los Santos
ssantos@hispasec.com



No hay comentarios:

Publicar un comentario en la entrada