Una variante del troyano ZeuS, asaltanta las cuentas del banco de las
víctimas, haciéndose pasar por una aplicación legítima de Windows utilizando
una firma digital válida y los paquetes
de un rootkit, para infiltrarse profundamente en los computadores atacados.
Parece ser que los ciberdelincuentes de alguna manera han logrado
acceder al certificado de firma privada que pertenece a un desarrollador
registrado en Microsoft, y lo utilizaron para firmar criptográficamente el
ejecutable del malware . Este certificado se debe mantener un secreto muy bien
guardado.
El sistema operativo Windows y las herramientas antivirus pueden
comprobar la validez de la firma digital de un programa antes de confiar en
ella, debido a que una firma no válida indica que el código ha sido alterado en
tránsito, por ejemplo. Mediante la generación de una firma válida para el
troyano ZeuS, Crims pueden revestir el software malicioso como una aplicación
legítima.
Es una señal de que los delincuentes están adoptando tácticas
utilizadas por el software de espionaje sofisticado, como la llama, la firma de binarios para deslizar código en
las máquinas de las víctimas es parte integrante de la actual ciber-espionaje.
El uso de certs robados por los delincuentes es raro pero existen precedentes.
Investigadores de Comodo del departamento de certificado flogger SSL , mediante telemetría
recopilada de los usuarios de su software de seguridad, detectaron 200
instalaciones de este última variante de ZeuS.
ZeuS (también conocido como Zbot) se distribuye normalmente por los
hackers que implantan un código malicioso en sitios web legítimos que se
aprovechan de los errores del navegador para instalar el phishing de correo
electrónico desagradable, o por medio engañando a los internautas en los
archivos adjuntos en ejecución.
El malware descubierto por Comodo presentó una página web con el
logotipo de Internet Explorer en él, mientras que en realidad es un
ejecutable malicioso firmado, que lleva
un instalador en el disco duro para funcionar, que intenta descargar un rootkit
de la web. Esto se descifra en un conductor y se alinearon para ejecutar desde
el principio en la secuencia de arranque del PC - lo que significa que puede
iniciar sesión el troyano oculto del resto del sistema operativo y las aplicaciones,
en particular las herramientas que tratan de eliminar el troyano (antivirus).
Cuando se ejecuta, el objetivo del software intercepta nombres de
usuario y contraseñas, números de tarjetas de crédito y otra información
personal altamente sensible presentado a través de formularios de sitios web -
en particular aquellos en los sitios web de banca - y transfiere los datos a los delincuentes para explotarlos.
Fuente: The Register