Español | English
rss facebook linkedin Twitter

Nuevas muestras de Zeus

Uno de las familias más veteranas de malware, especializada en el robo de credenciales de entidades bancarias y de la que ya hemos hablado en otras ocasiones en este blog, es la conocida como Zeus/Zbot/Wnspoem.
Incombustible y con multitud de versiones infectando miles de ordenadores, vuelve a ser noticia gracias a la aparición de su última y flamante versión, en la que presenta algunas novedades.

El primer cambio significativo es el nombre del ejecutable. Se añade una nueva variante a las ya conocidas (ntos.exe, twext.exe, oembios.exe), en este caso twex.exe. En cuanto a detección, en caso de muestras "antiguas" el ratio de detección llega al 50%, mientras que para muestras nuevas con las que no han podido trabajar anteriormente compañías AntiVirus y, por lo tanto, crear la firma correspondiente, el ratio se sitúa en el 21%. Este segundo caso puede ser más representativo de un caso real de intento de infección.

No obstante, hay que recordar que el pack de Zeus incluye un generador de binarios, por lo que la detección puede variar entre muestras siendo algunas incluso indetectables en caso de modificar la firma. En general, la detección no varía respecto a anteriores versiones, siendo la siguiente entrada de registro

UserInit=C:\WINDOWS\system32\twex.exe

y los siguientes archivos ocultos

C:\WINDOWS\system32\twain32\local.ds
C:\WINDOWS\system32\twain32\user.ds

prueba de la presencia del troyano. En este caso, la detección es fruto del análisis realizado mediante programas especializados en el análisis de troyanos.

Quizá la novedad más interesante es el método de cifrado de los archivos de configuración. Éstos hasta ahora eran universalmente descifrables, pero en la nueva versión sólo pueden ser descifrados mediante una clave que se encuentra dentro del binario al que están destinados. Utiliza como algoritmo de cifrado RC4. De este modo, los archivos de configuración quedan ligados a un binario específico, haciendo más complicado el análisis de este malware. No obstante, se ha podido extraer la lista de entidades afectadas de una serie de muestras, comprobándose la preferencia por entidades bancarias ya afectadas por versiones anteriores del troyano.

Finalmente, parece que algunos de los nuevos archivos de configuración hacen referencia a nuevos objetivos. En concreto hemos detectado las siguientes URLs de las que capturar credenciales:

*//adwords.google.com/select/snapshot*
*//adwords.google.com/select/CampaignSummary*
*//adwords.google.com/select/EditBillingPreferences*
*//adwords.google.com/m/billing/ShowBillingStatement*


Vicente Diaz
S21sec e-crime

1 comentario:

Hugo R. Gonzalez B. dijo...

Como parte de la seguridad, considero que es muy importante este tipo de alertas.

Gracias por la información


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login