Los ataques de troyanos Zeus/Zbot se consideraban desaparecidos en el mes de enero, sin embargo, a principios de mayo se ha observado un incremento en el número de infecciones, apuntaron investigadores de Trend Micro.
El propósito del malware es el mismo que antes: el robo de credenciales, incluyendo aquellas que sirven para banca en línea o el robo de cualquier tipo de información personal que pueda ser usada por los criminales.
Las nuevas variantes han cambiado un poco (asunto que no interesa mucho a las víctimas), ahora se crean dos folders diferentes en el sistema: uno que almacena una copia de sí mismo y otro que hospeda información robada y cifrada, así como el archivo de configuración que se descarga desde un servidor remoto. Lo que antes se almacenaba en un solo folder del sistema en Windows, ahora se almacena de forma aleatoria en folders Data de las Aplicaciones.
"El malware Zbot de esta generación se acerca más a ser una variante del tipo Citadel o GameOver. Ambas variantes envían peticiones DNS a nombres de dominio aleatorios, la diferencia en las variantes GameOver es que ellas abren puertos aleatorios UDP y envían paquetes codificados antes de enviar las peticiones DNS a los nombres aleatorios de dominio."
Los archivos de configuración son modificables, como sucede usualmente y dependen del tipo de información que los atacantes deseen obtener, el malware aún evita que los navegadores visiten sitios de seguridad.
"Lo que podemos aprender sobre Zeus/Zbot en estos últimos meses, es que viejas amenazas como Zbot siempre pueden regresar gracias a que los cybercriminales se benefician de esto".
No hay comentarios:
Publicar un comentario