Antecedentes del ataque
TSPY_ZBOT es la detección de Trend Micro para el malware relacionado con lo que la industria denomina «ZeuS botnets». ZeuS botnet, de hecho, es un término abreviado para las redes de ordenadores comprometidos que utilizan troyanos ZeuS/ZBOT en sus operaciones relacionadas con botnets. Las variantes de TSPY_ZBOT suelen llegar a través de spam que parece provenir de fuentes legítimas, pidiendo a los destinatarios que hagan clic en un enlace. Dicho enlace conduce a la descarga de TSPY_ZBOT, que se instala silenciosamente en los sistemas a la espera de que los usuarios introduzcan sus credenciales en determinados sitios.
Desde 2007, Trend Micro ha estado supervisando la familia ZBOT. El número de detecciones de ZBOT ha crecido sustancialmente a lo largo de los años, como se puede ver en las siguientes entradas del blog:
- Manteniendo un ojo en el EYEBOT y una posible guerra de bots
- Una variante de ZBOT suplanta el NIC para enviar spam a otras agencias gubernamentales
- Un nuevo binario de ZBOT/ZeuS viene con un mensaje oculto
- Los phishers apuntan a los usuarios de AOL IM
- SASFIS se desvanece en el fondo
- Phishing con el pretexto de mejorar la seguridad
- ZBOT ataca de nuevo a Facebook
- Otro Spam ZBOT
- La herramienta «Balance Checker» de Bogus lleva malware
- ¿Estás siendo phished (de Facebook)?
Lea más entradas relacionadas con ZBOT/ZeuS aquí.
Hasta la fecha, Trend Micro ha visto más de 2.000 detecciones de ZBOT y las cifras siguen aumentando.
¿Cuál es la diferencia entre ZeuS, ZBOT y Kneber?
Todos estos nombres se relacionan con la red de bots ZeuS, que es una red de bots de crimeware establecida que se dice que es responsable de otras redes de bots conocidas en la naturaleza. El primer uso notable del troyano ZeuS fue a través de la notoria Rock Phish Gang, conocida por sus kits de páginas de phishing fáciles de usar. El término «ZBOT» es el nombre de detección de Trend Micro para todo el malware involucrado en la masiva red de bots. La red de bots Kneber, por su parte, es un término acuñado recientemente que pertenece a un compromiso específico de ZBOT/ZeuS.
¿Cómo llega esta amenaza a los sistemas de los usuarios?
La amenaza puede llegar como un mensaje de spam o puede descargarse sin saberlo desde sitios web comprometidos. La mayoría de las detecciones de ZBOT se dirigen a sitios web relacionados con los bancos. Sin embargo, los últimos envíos de spam han mostrado una creciente diversidad de objetivos. La lista de variantes de ZBOT dignas de mención incluye TROJ_ZBOT.SVR, que se utilizó para enviar spam a agencias gubernamentales; TSPY_ZBOT.JF, que se dirigió a usuarios de AIM; y TSPY_ZBOT.CCB, que se dirigió a la red social Facebook.
¿Cómo se engaña a los usuarios para que hagan clic en los enlaces?
Los mensajes de spam suelen pretender ser de empresas legítimas y, más recientemente, de organismos gubernamentales. También se han encontrado variantes de ZBOT en una tirada de spam que se aprovecha de acontecimientos populares como la muerte de Michael Jackson.
¿Cuál es el objetivo principal de la red de bots ZeuS?
Está diseñada principalmente para el robo de datos o de información de cuentas de varios sitios como la banca online, las redes sociales y los sitios de comercio electrónico.
¿Cómo gana dinero esta amenaza para sus autores?
Genera una lista de sitios web relacionados con la banca o instituciones financieras de las que intenta robar información bancaria online sensible, como nombres de usuario y contraseñas. A continuación, monitoriza las actividades de navegación web del usuario (tanto HTTP como HTTPS) utilizando los títulos de las ventanas del navegador o las URL de la barra de direcciones como desencadenantes de su ataque. Esta rutina corre el riesgo de exponer la información de la cuenta del usuario, lo que puede conducir al uso no autorizado de los datos robados.
¿Quiénes están en riesgo?
Los usuarios con sistemas infectados por ZBOT que inicien sesión en cualquiera de los sitios objetivo corren el riesgo de perder información personal a manos de los ciberdelincuentes.
¿Qué hace el malware con la información que recopila?
Envía la información recopilada a través de HTTP POST a URL remotas. Los ciberdelincuentes pueden entonces utilizar esta información para sus actividades maliciosas. Pueden venderse en mercados clandestinos.
¿Qué hace que esta amenaza sea persistente?
Además de sus tácticas de ingeniería social y sus técnicas de spam en constante evolución, ZBOT dificulta su detección gracias a sus capacidades de rootkit. Al instalarse en un sistema afectado, ZBOT crea una carpeta con los atributos System y Hidden para evitar que los usuarios descubran y eliminen sus componentes. Además, ZBOT es capaz de desactivar el Firewall de Windows y de inyectarse en los procesos para hacerse residente en la memoria. También se autodestruye si se encuentran en el sistema ciertos procesos conocidos del cortafuegos. Las variantes de ZBOT también aparecen en descargas en cadena que implican a otras familias de malware como WALEDAC y FAKEAV.
¿Qué puedo hacer para proteger mi ordenador de la amenaza que supone la red de bots ZeuS?
Es importante que los usuarios tengan cuidado al abrir los mensajes de correo electrónico y al hacer clic en las URL. Dado que los autores del malware ZBOT están encontrando constantemente nuevas formas de atacar a los usuarios, se aconseja a los usuarios que empleen prácticas informáticas seguras.
Tenga cuidado con las páginas de phishing que pretenden ser sitios web legítimos, ya que están diseñadas principalmente para engañar a los usuarios desprevenidos para que entreguen información personal. Hacer clic en enlaces de correos electrónicos que provienen de remitentes desconocidos es una de las formas más fáciles de caer en los ataques ZBOT.
Las variantes de TSPY_ZBOT son actualmente compatibles con Trend Micro GeneriClean, una función que se encuentra en la mayoría de los productos de Trend Micro. Los usuarios deben analizar manualmente sus sistemas para activarlo.
Las soluciones compatibles con Trend Micro™ Smart Protection Network™ bloquean el spam utilizado por esta red de bots para infectar a los usuarios a través del servicio de reputación del correo electrónico. Puede detectar e impedir la ejecución de archivos maliciosos a través del servicio de reputación de archivos. También protege a los usuarios de las variantes de ZBOT bloqueando el acceso a sitios maliciosos a través del servicio de reputación web, así como de los intentos de «phone-home» en los que un ordenador infectado intenta cargar datos robados o descargar malware adicional desde servidores de comando y control (C&C).
Los usuarios de productos que no sean de Trend Micro también pueden comprobar sus sistemas utilizando HouseCall, una herramienta gratuita que identifica y elimina todo tipo de virus, troyanos, gusanos, complementos de navegador no deseados y otro malware de los sistemas afectados. También pueden utilizar el complemento de protección web para proteger de forma proactiva sus ordenadores contra las amenazas web y las actividades relacionadas con los bots. RUBotted puede utilizarse para averiguar si sus equipos forman parte de una red de bots.
Algunas de nuestras detecciones heurísticas para esta amenaza son MAL_ZBOT, MAL_ZBOT-2, MAL_ZBOT-3, MAL_ZBOT-4, MAL_ZBOT-5, MAL_ZBOT-6 y MAL_ZBOT-7.
Desde el terreno: Perspectivas de los expertos
«El reciente ataque a la red de bots Kneber no es más que otro ejemplo de cómo se utilizan los troyanos ZeuS (o ZBOT). Trend Micro ya publicó entradas en su blog al respecto en 2007. En lo que a nosotros respecta, ni siquiera nos sorprende.»
-Jamz Yaneza sobre el reciente ataque Kneber y el revuelo mediático que rodea al asunto
«Es difícil adelantarse a él a través de los antivirus porque los binarios ZeuS (ZBOT) cambian continuamente unas cuantas veces al día para evadir la detección.»
-Paul Ferguson sobre un ataque ZeuS del pasado septiembre de 2009 que utilizó mensajes de spam supuestamente del Servicio de Impuestos Internos (IRS)