Tiempo de leer: 4 minutos

Comodo Antivirus Labs ha identificado una variante nueva y extremadamente peligrosa del troyano bancario Zeus. Los hackers usan Zeus para lanzar ataques que obtienen las credenciales de inicio de sesión de los visitantes de los sitios de banca en línea y cometen fraude financiero. La importancia de esta variante es la combinación de una firma digital legítima, un rootkit y un componente de malware. El malware con una firma digital válida es una situación extremadamente peligrosa.

Una firma digital asegura los navegadores y Antivirus para Windows 8 sistemas que un archivo es legítimo y no una amenaza. Las versiones de Zeus existen desde hace varios años, pero con un certificado digital válido antivirus Es mucho menos probable que los sistemas tomen medidas o darán niveles más bajos de advertencia.

El equipo de Comodo identificó el Zeus variante porque monitorean y analizan continuamente los datos escaneados de los usuarios de los sistemas de seguridad de Internet de Comodo. Hasta ahora han encontrado más de 200 visitas únicas para esta variante de Zeus de nuestros usuarios.

Zeus se distribuye a un público amplio, principalmente a través de componentes de páginas web infectadas o mediante phishing por correo electrónico. Los correos electrónicos de phishing parecen provenir de una fuente confiable, como un banco importante, pero en realidad son de hackers.

Un ataque típico

El tipo de ataque lanzado por Zeus se llama ataque "Man-the-Browser" (MitB). A los piratas informáticos se les envía la información requerida para crear una sesión remota donde pueden ver exactamente lo que está haciendo la víctima e interferir con sus acciones sin su conocimiento.

Por ejemplo, si la víctima del ataque va a un sitio de banca en línea para realizar una transacción, como transferir fondos, ve que todo ocurre normalmente. La información de pago que ingresaron se mostrará como se esperaba, pero detrás de escena los piratas informáticos alterarán la transacción y la enviarán a otra cuenta con posiblemente una cantidad mayor.

Los piratas informáticos trabajan con "Money Mules" que establecen cuentas bancarias con credenciales falsas y reciben una comisión por manejar ganancias obtenidas ilegalmente.

Protegiéndote de Zeus

Para mantenerse protegido de tales amenazas, instale Comodo Internet Security y asegúrese de mantener habilitados todos sus escudos en tiempo real.

Detalles técnicos

Hay tres componentes para un ataque lanzado por Zeus:

1. El descargador: Entregado al sistema de usuario por un exploit o un archivo adjunto en un correo electrónico de phishing. Descargará el rootkit y el componente de malware del ataque.
2. El malware: En este caso, se trata de un ladrón de datos, el programa que robará datos valiosos del usuario, credenciales de inicio de sesión, información de la tarjeta de crédito, etc. que el usuario ingresa en un formulario web.
3. Un rootkit: Un rootkit oculta el componente de malware instalado, protegiéndolo de la detección y eliminación.

Comodo se enteró por primera vez de la variante de una muestra enviada por un usuario de Comodo. Intenta engañar al usuario para que lo ejecute presentándose como algún tipo de documento de Internet Explorer, incluido un icono similar al navegador de Windows. Lo alarmante de esto es que el archivo está firmado digitalmente con un certificado válido, lo que hace que parezca confiable a primera vista. El certificado digital se emite a "isonet ag".

Al ejecutarse, el archivo se copia en la memoria, agrega al final del archivo la ruta completa desde la que se ejecutó y luego lo escribe en% temp% tahol.exe.

Luego se ejecuta el archivo y sale el instalador.

Además, el archivo ejecutado intenta descargar componentes de rootkit desde dos ubicaciones web, lovestogarden.com/images/general/TARGT.tpl y villaveronica.it/images/general/TARGT.tpl.

Después de descifrar la carga útil descargada, el rootkit se instala dentro de "Boot Bus Extender" para asegurarse de que se carga antes que otros controladores. Su propósito es proteger los archivos maliciosos y las entradas de ejecución automática de ser borrados por el usuario o software antivirus, aumentando la dificultad del proceso de eliminación.

El ejecutable protegido que se agrega al inicio es una variante del conocido troyano Zbot banker diseñado para recuperar datos bancarios y otros datos confidenciales de la computadora del usuario.

PRUEBE LA SEGURIDAD DE SU CORREO ELECTRÓNICO OBTENGA SU TARJETA DE SEGURIDAD INSTANTÁNEA GRATIS Fuente: https://blog.comodo.com/e-commerce/comodo-av-labs-id-zeus-trojan/