Botnets: una breve mirada al interior de ZeuS

Iniciado por @Sthéfano, 20 Julio 2011, 01:53 AM

0 Miembros y 1 Visitante están viendo este tema.

@Sthéfano

Internet se ha transformado en una preciada plataforma de ataque donde la diseminación de malware a través de aplicativos crimeware es cosa de todos los días. Una gran parte del malware actual se encuentra diseñado con la intención de reclutar computadoras zombis que luego formarán parte de alguna botnet.

Por ejemplo aquí tenemos una pantalla de login del Comando y Control (C&C) de una de estas redes:




Este tipo de aplicativos permiten a los botmaster administrar y controlar cada una de las computadoras infectadas a través de una panel de administración desde el cual pueden ejecutar de manera remota, además de la propagación de malware, otros tipos de acciones maliciosas como DDoS (Denegación de Servicio Distribuida) o el envío de spam, como es el caso de la botnet formada por el troyano Waledac. Aquí, uno de estos panel donde se puede ver la cantidad de sistemas controlados por país:




Hace tiempo pudimos conocer el poder de las botnets cuando se polemizó la prueba realizada por la BBC en torno a una investigación sobre el crimeware actual, dejando en completa evidencia que para quienes se dedican a ello, las botnet, el malware y el crimeware en general, constituyen un negocio sin fronteras.

ZeuS (o Zbot) representa una de las botnet con mayor actividad de la actualidad formando parte del conjunto de aplicativos crimeware que permiten su administración vía web a través de una interfaz.

Sus diferentes módulos de ataque, escritos en PHP, le permiten al botmaster (o a cualquiera de los personajes que alquilan la botnet, como por ejemplo un spammer)  llevar a cabo diferentes actividades de índole delictiva y propagar diferentes códigos maliciosos que colaboran con los ataques; siendo uno de los más activos, los ataques de phishing.

El Kit de este crimeware, ya posee una serie de archivos escritos en html donde cada uno de ellos es la clonación de la página web de diversas entidades bancarias, que ZeuS clasifica de acuerdo al idioma. Es decir, dentro de su estructura encontramos carpetas que alojan cada phishing en idioma español, inglés, ruso (este crimeware proviene de Rusia) y en algunos casos alemán dependiendo de la versión del Kit, listos para ser propagados por el ciberdelincuente.

La siguiente captura muestra el phishing a dos conocidas entidades bancarias:




Las posibilidades fraudulentas que ofrece la botnet son más amplias y no sólo posee clonaciones de páginas de entidades bancarias sino que también de compañías que ofrecen servicios a través de Internet. Entre las que forman parte de la nómina se encuentran:


Además, este crimeware propaga diferentes códigos maliciosos diseñados para realizar diferentes actividades delictivas.

Al igual que otros kits de control, administración y monitoreo vía web a través de una interfaz, estos paquetes crimeware incorporan diferentes módulos de ataque que posibilitan al botmaster propagar diferentes códigos maliciosos a través de diferentes técnicas.

En este sentido, ya vimos una breve introducción a ZeuS, mostrando también la capacidad que posee de realizar ataques de phishing a importantes entidades bancarias y otras compañías que ofrecen servicios por Internet.

Ahora, para completar un poco más el conocimiento sobre esta botnet, que en la actualidad se encuentra muy activa y con alto porcentaje de equipos infectados que forman parte de su red, veamos cuáles son los diferentes códigos maliciosos que propaga.

En principio cabe aclarar que la cantidad y variedad de malware capaz de propagar ZeuS cambia levemente con cada versión del Kit, salvo por el propio código malicioso de la botnet, creado a partir de una aplicación interna del paquete.




Es decir, que también propaga el malware que describo a continuación:


  • Win32/PSW.LdPinch: un troyano cuyo objetivo es recolectar información sensible y confidencial relacionada a nombres de usuarios y contraseñas
  • Win32/TrojanClicker.Delf: otro tipo de troyano que busca registrar la mayor cantidad de click sobre servicios como AdSense y similares
  • Win32/TrojanDownloader.Small: diseñado para descargar otros códigos maliciosos en el equipo infectado

Pero tampoco se queda con ese grupo de cuatro códigos maliciosos, ZeuS es capaz de propagar otros, quizás un poco más conocidos por nuestros lectores:




Se trata de tres códigos maliciosos detectado por ESET NOD32 como:


  • Win32/Adware.SpywareProtect2009: un conocido rogue ampliamente propagado, incluso por otros aplicativos crimeware
  • Win32/Koobface: un gusano diseñado para explotar diferentes redes sociales robando información sensible de los usuarios que hacen uso de ella, volviéndo a la carga recientemente.
  • PDF/Exploit.Pidief: orientado a explotar vulnerabilidades conocidas en los lectores de archivos PDF Acrobat Reader y Foxit Reader

Como podemos apreciar, un total de siete códigos maliciosos que dejan en evidencia que la capacidad de propagación de malware de este crimeware son muy amplias.

Eso es todo, el que esté interesado en el descargar el source de ZeuS puede hacerlo desde aquí:

ZeuS 2.0.8.9 by ANTRAX [pass: zeus]

Saludos!

Fuente: Laboratorios ESET