Después
afectar a Rusia, China y Estados Unidos esta nueva variante del troyano Zeus ha
comenzado a afectar a las entidades bancarias y métodos de pago utilizados en
países pertenecientes a Europa. España se ubica como uno de los países más
afectados por esta infección afectando a un total de 36 entidades bancarias y
formas de pago. Chthonic, que así es como se llama esta nueva variante, se
distribuye haciendo uso de un documento de Microsoft Word infectado.
Detalle del ataque
- El documento infectado se aprovecha de una vulnerabilidad existente en la suite de ofimática que ya ha sido parcheada, pero que a pesar de todo sigue existiendo en una gran cantidad de equipos que aún no poseen la actualización instalada. CVE-2014-1761, la vulnerabilidad a la que acabamos de hacer referencia, se aprovecha gracias a Andromeda bot, un exploit destinado a explotar únicamente este fallo de seguridad. De nada sirve culpar a Microsoft cuando son los propios usuario o administradores de los equipos los que deben instalar las actualizaciones que resuelven este tipo de problemas, o al menos configurar las actualizaciones para que se instalen de forma periódica y automática.
- El malware utiliza el mismo cifrado que Zeus y posee también algunas características propias de Andromeda bot, el exploit ya mencionado, que también da nombre a la botnet a la que el equipo infectado se vincula de forma automática.
- Los expertos en seguridad han detectado que los módulos que se descargan en el equipo son compatibles tanto con sistemas de 32 bits como equipos que ejecutan versiones de 64.
- Entre las tareas desempeñadas por el malware, este se encarga de recopilar información que se encuentra en el equipo, robo de credenciales de acceso y permanecer en ejecución en segundo plano y buscando comunicarse con otros equipos de la misma red local. Teniendo en cuenta que se distribuye haciendo uso de un correo electrónico, el ordenador infectado también realiza el envío del correo spam a direcciones que se encuentren o de introduzcan en este equipo.
- Además de afectar a los empleados de las entidades bancarias, el malware también se está distribuyendo entre los usuarios particulares, permitiendo el robo de datos tanto en equipos pertenecientes a las entidades como aquellos que se utilizan para acceder a las gestiones desde los hogares. Expertos en seguridad afirman que Chthonic es el resultado de un robo del código del troyano Zeus en los foros donde se realiza la compra-venta de este tipo de software.
- Desde Kaspersky añaden que en el caso de disponer de una herramienta de seguridad activa con análisis en tiempo real no debería existir ningún tipo de problema para detener la amenaza y proceder a su eliminación del equipo.
