En esta ocasión, en lugar de afectar a los usuarios particulares
y así conseguir el robo de las credenciales de acceso a cuentas de servicios de
banca, esta variante del troyano Zeus está pensada para afectar directamente a
los equipos que pertenecen a la red local de las oficinas de algunas entidades
bancarias, tal y como han reportado algunas compañías especializadas.
El motivo del cambio del objetivo resulta bastante claro: la
información que contienen y que se maneja con estos equipos. Teniendo en cuenta
que estamos hablando de ordenadores donde se aprueban transacciones y se
modifican datos de los usuarios, parece relativamente justificado que se hayan
convertido en un objetivo mucho más apetecible. La mecánica para infectar estos
equipos es la misma que en el caso de un usuario particular: se realiza el envío
de un correo electrónico a una cuenta perteneciente a un empleado de la
entidad, bien con un archivo adjunto o de lo contrario recurriendo a un enlace.
Al realizar la descarga del archivo y abrirlo, se realiza la instalación del
malware que queda abierto en un segundo plano recopilando información y
permitiendo el control del equipo de forma remota.
Esto permite a los ciberdelincuentes la posibilidad de
extender el virus haciendo uso de la red local de equipos o incluso se ha
llegado a dar el caso de la utilización de las unidades extraíbles para su
distribución, tal y como ha sucedido en un banco canadiense.
Algunas herramientas de
seguridad no detectan la presencia de esta variante del troyano Zeus
· Los responsables de seguridad del banco
canadiense que más se ha visto afectado han concretado que los equipos ejecutan
una herramienta de seguridad de forma permanente. Sin embargo, puntualizan que
la no detección de este troyano se debe a la utilización de procesos legítimos
del sistema operativo para camuflar su actividad, algo que ya hemos podido ver
en otras amenazas. Otro impedimento es la comunicación cifrada con el servidor
de control, imposibilitando un análisis del tráfico y por lo tanto que se
produzca el bloqueo.
Engañar al usuario
utilizando páginas web falsas
· El troyano Zeus es capaz de saltarse el cifrado
SSL de las páginas que hace uso el usuario. El motivo es muy simple: utiliza
páginas falsas. Esto quiere decir que aunque siga apareciendo en el barra de
direcciones “el candado verde” acompañando la dirección, en realidad el usuario
ah accedido a una página web falsa que es propiedad de los ciberdelincuentes e
idéntica a la legítima. De esta forma complementa la función de keylogger que
posee, permitiendo una mayor certeza a la hora de realizar el robo de datos.
· Además, los responsables de seguridad se han
percatado de que la interfaz de control es mucho más avanzada, permitiendo
clasificar la información y realizar transacciones con suma facilidad.
Fuente: Softpedia