elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Introducción a Git (Primera Parte)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  Botnets: una breve mirada al interior de ZeuS
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Botnets: una breve mirada al interior de ZeuS  (Leído 3,531 veces)
@Sthéfano

Desconectado Desconectado

Mensajes: 98

Security & Programming ~


Ver Perfil
Botnets: una breve mirada al interior de ZeuS
« en: 20 Julio 2011, 01:53 am »

Internet se ha transformado en una preciada plataforma de ataque donde la diseminación de malware a través de aplicativos crimeware es cosa de todos los días. Una gran parte del malware actual se encuentra diseñado con la intención de reclutar computadoras zombis que luego formarán parte de alguna botnet.

Por ejemplo aquí tenemos una pantalla de login del Comando y Control (C&C) de una de estas redes:




Este tipo de aplicativos permiten a los botmaster administrar y controlar cada una de las computadoras infectadas a través de una panel de administración desde el cual pueden ejecutar de manera remota, además de la propagación de malware, otros tipos de acciones maliciosas como DDoS (Denegación de Servicio Distribuida) o el envío de spam, como es el caso de la botnet formada por el troyano Waledac. Aquí, uno de estos panel donde se puede ver la cantidad de sistemas controlados por país:




Hace tiempo pudimos conocer el poder de las botnets cuando se polemizó la prueba realizada por la BBC en torno a una investigación sobre el crimeware actual, dejando en completa evidencia que para quienes se dedican a ello, las botnet, el malware y el crimeware en general, constituyen un negocio sin fronteras.

ZeuS (o Zbot) representa una de las botnet con mayor actividad de la actualidad formando parte del conjunto de aplicativos crimeware que permiten su administración vía web a través de una interfaz.

Sus diferentes módulos de ataque, escritos en PHP, le permiten al botmaster (o a cualquiera de los personajes que alquilan la botnet, como por ejemplo un spammer)  llevar a cabo diferentes actividades de índole delictiva y propagar diferentes códigos maliciosos que colaboran con los ataques; siendo uno de los más activos, los ataques de phishing.

El Kit de este crimeware, ya posee una serie de archivos escritos en html donde cada uno de ellos es la clonación de la página web de diversas entidades bancarias, que ZeuS clasifica de acuerdo al idioma. Es decir, dentro de su estructura encontramos carpetas que alojan cada phishing en idioma español, inglés, ruso (este crimeware proviene de Rusia) y en algunos casos alemán dependiendo de la versión del Kit, listos para ser propagados por el ciberdelincuente.

La siguiente captura muestra el phishing a dos conocidas entidades bancarias:




Las posibilidades fraudulentas que ofrece la botnet son más amplias y no sólo posee clonaciones de páginas de entidades bancarias sino que también de compañías que ofrecen servicios a través de Internet. Entre las que forman parte de la nómina se encuentran:

  • gruposantander.es
  • finanzportal.fiducia.de
  • bankofamerica.com
  • bbva.es
  • bancaja.es
  • online.lloydstsb.co.uk
  • bancopopular.es
  • ebay.com
  • us.hsbc.com
  • e-gold.com
  • paypal.com
  • usbank.com
  • citizensbankonline.com
  • extranet.banesto.es
  • citibank.de
  • bancoherrero.com

Además, este crimeware propaga diferentes códigos maliciosos diseñados para realizar diferentes actividades delictivas.

Al igual que otros kits de control, administración y monitoreo vía web a través de una interfaz, estos paquetes crimeware incorporan diferentes módulos de ataque que posibilitan al botmaster propagar diferentes códigos maliciosos a través de diferentes técnicas.

En este sentido, ya vimos una breve introducción a ZeuS, mostrando también la capacidad que posee de realizar ataques de phishing a importantes entidades bancarias y otras compañías que ofrecen servicios por Internet.

Ahora, para completar un poco más el conocimiento sobre esta botnet, que en la actualidad se encuentra muy activa y con alto porcentaje de equipos infectados que forman parte de su red, veamos cuáles son los diferentes códigos maliciosos que propaga.

En principio cabe aclarar que la cantidad y variedad de malware capaz de propagar ZeuS cambia levemente con cada versión del Kit, salvo por el propio código malicioso de la botnet, creado a partir de una aplicación interna del paquete.




Es decir, que también propaga el malware que describo a continuación:

  • Win32/PSW.LdPinch: un troyano cuyo objetivo es recolectar información sensible y confidencial relacionada a nombres de usuarios y contraseñas
  • Win32/TrojanClicker.Delf: otro tipo de troyano que busca registrar la mayor cantidad de click sobre servicios como AdSense y similares
  • Win32/TrojanDownloader.Small: diseñado para descargar otros códigos maliciosos en el equipo infectado

Pero tampoco se queda con ese grupo de cuatro códigos maliciosos, ZeuS es capaz de propagar otros, quizás un poco más conocidos por nuestros lectores:




Se trata de tres códigos maliciosos detectado por ESET NOD32 como:

  • Win32/Adware.SpywareProtect2009: un conocido rogue ampliamente propagado, incluso por otros aplicativos crimeware
  • Win32/Koobface: un gusano diseñado para explotar diferentes redes sociales robando información sensible de los usuarios que hacen uso de ella, volviéndo a la carga recientemente.
  • PDF/Exploit.Pidief: orientado a explotar vulnerabilidades conocidas en los lectores de archivos PDF Acrobat Reader y Foxit Reader

Como podemos apreciar, un total de siete códigos maliciosos que dejan en evidencia que la capacidad de propagación de malware de este crimeware son muy amplias.

Eso es todo, el que esté interesado en el descargar el source de ZeuS puede hacerlo desde aquí:

ZeuS 2.0.8.9 by ANTRAX [pass: zeus]

Saludos!

Fuente: Laboratorios ESET
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
^[Abril Negro]Una mirada distinta a la conexion de un malware ó troyano
Abril negro
LixKeÜ 6 9,381 Último mensaje 2 Mayo 2009, 22:18 pm
por SXF
Zeus botnet source
Análisis y Diseño de Malware
Ca0s 5 6,678 Último mensaje 19 Junio 2011, 10:42 am
por bitmann
Crimen voltea su mirada hacia jóvenes ingenieros
Foro Libre
ignorantev1.1 4 2,932 Último mensaje 24 Mayo 2011, 06:05 am
por ignorantev1.1
Zeus, Android y el robo información
Noticias
putus 1 3,836 Último mensaje 13 Julio 2011, 03:30 am
por seba123neo
Un software que convierte la mirada del ojo humano en un ratón de ordenador
Noticias
wolfbcn 3 2,826 Último mensaje 15 Julio 2012, 07:54 am
por MasterPM2
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines