Español | English
rss facebook linkedin Twitter

Murofet: cambiando a zlib

El tiempo pasa, y en el mundo del malware van a apareciendo nuevas amenazas, pero las ya consolidadas siguen evolucionando, y parece ser que todo apunta a que seguirán haciéndolo.

En esta ocasión vamos a volver de hablar de ZeuS, concretamente de la versión conocida como Murofet.

Alla por junio hablábamos de las diferentes ramificaciones del mismo, y también hemos visto que los desarrolladores de esta variante han implementado nuevas funcionalidades como el P2P o la generación de nombres de dominio, en lo también conocido como Murofet 2.0.

En una de las últimas muestras recibidas vimos que algo no encajaba con el comportamiento habitual, por lo que, tras analizarla con un poco más de calma, hemos podido comprobar que ciertas secciones que están comprimidas, en vez de utilizar UCL, ahora han pasado a ser comprimidas con zlib.

Uso de zlib v1.2.5

Zeus ha evolucionado mucho. Atrás queda el tiempo en el que cada botnet no tenía su clave y el cifrado constaba tan solo de un xor y poco más. Observando la evolución, se ha podido observar como los creadores han madurado, han dejado de reinventar la rueda y han incorporando algoritmos criptográficos ya existentes, mucho más robustos que los primeros, algo totalmente lógico.

Y hablando particularmente del gang detrás de Murofet, podemos observar una constante evolución, separándose cada vez más de la versión oficial. Los cambios que han incorporado poco a poco, tanto a nivel más interno (en cuanto a la modificación de características en la codificación del fichero de configuración) como el añadir las características antes mencionadas, indican un buen conocimiento de lo que se traen entre manos.

Además, no olvidemos el detalle de que la primera variante la pudimos ver antes de que el código fuente se filtrase, por lo que está claro que hay detrás un grupo con los objetivos claros.

Seguiremos jugando.

Jozsef Gegeny y Mikel Gastesi
S21sec e-crime

(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login