Español | English
rss facebook linkedin Twitter

ZeuS: Porque no todo es bancario

La semana pasada, investigadores de seguridad publicaron un artículo sobre una nueva variante de ZeuS que se aprovecha de la moda de ganar popularidad en Instagram mediante "likes", ya que hay gente que está dispuesta incluso a pagar por ello. Este comportamiento de un ZeuS no parece exclusivo de dicha variante ya que llevamos un tiempo siguiendo otra que muestra un comportamiento similar en cuanto a no tener entidades bancarias como objetivo.

La primera cosa que llamó nuestra atención es el hecho de que no se inyecta en explorer.exe; En vez de eso, crea dos procesos diferentes:


El primero: winsec32.exe, está localizado dentro de %windir%/system32/ mientras que el otro es el típico binario ZeuS con nombre pseudo-aleatorio dentro de la ruta habitual. Ambos son iguales, sin embargo, la funcionalidad del primer proceso parece limitada a la monitorización y lanzamiento del segundo en caso de que este deje de ejecutarse por cualquier razón:

C:\WINDOWS\system32\winsec32.exe" -service "C:\Documents and Settings\\Application Data\Xuzove\efybym.exe
Aparte de eso, también crea una nueva tarea para ganar persistencia en el sistema:

Service: Security Center Server - 1972840912 (SecurityCenterServer1972840912) - OperA software - C:\WINDOWS\system32\winsec32.exe
Nota: Este es el motivo por lo que, en un alarde de originalidad, lo llamamos "ZeuS Tasks"; El hecho de que no se inyecte en explorer.exe nos recordó también a una vieja variante vista hace unos dos años con procesos visibles que tenía un mensaje oculto para analistas donde debería hallarse la static config del troyano:


En cualquier caso, el segundo proceso es el troyano como tal, el cual, parece orientado a Click Fraud. Antes de llegar a ese punto, veamos cuales son las principales diferencias respecto a un ZeuS estándar:

En primer lugar, la static config -o configuración embebida- no se gestiona de la manera habitual, empezando porque no tiene la capa XOR:


Dentro de ella se pueden encontrar al menos dos RC4 IVs y las direcciones del panel de control, las cuales, al contrario que la mayoría de las variantes ZeuS, no disponen de ruta que apunte a un fichero de configuración:


Lo que puede confirmarse echando un vistazo al tráfico de red, el cual muestra muchas peticiones con respuestas pequeñas que no tienen pinta de tratarse de un fichero de configuración cifrado:


Nos gustaría remarcar la forma en la que se comunica con su C&C ya que nos parece interesante. Cada vez que hace una petición cifra el payload con una clave RC4 diferente que es inicializada a partir de una combinación de Mersenne twister más una semilla de tiempo:


Después envía la parte pseudo-aleatoria de la clave al C&C para que pueda generarla y descifrar el payload así como cifrar la respuesta con el comando correspondiente.

Los únicos comandos que hemos visto hasta ahora son similares a:
{"status":"OK","data":{"tasks":[{"_id":{"$oid":"5214eb45db58c205d80481ee"},"bid":0.001326,
"dsturl":"hxxp://[advertisingsite]/click?url=aHR0cDovLzk1LjIxMS4xOTMuMTUvP2NsaWQ9M3Q5cDFxazNvMjZ6Mg==&h=Y2MxMnwxMjczfDIwMTMtMDgtMjE=&d=ZW1iZWRyLmNvb"...

Todas las URLs recibidas son cargadas en segundo plano de forma transparente al usuario para evitar levantar sospechas. Dichas URLs normalmente apuntan a una página de publicidad o un blog falso como el siguiente:


Páginas en las que cada uno de los enlaces apunta a una publicidad diferente.

Estamos, por lo tanto, ante otro ejemplo de uso del código fuente de ZeuS con un objetivo menos habitual y quizá menos peligroso que el bancario. Demostrando que todavía es uno de los troyanos más queridos.

Santiago Vicente

(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login