SPY EYE : Nueva botnet rusa trata de desbancar a su rival ZEUS
‘Matar a Zeus’ remueve el software rival de las PCs, dándole a Spy Eye acceso a nombres de usuarios y contraseñas
Una nueva amenaza del tipo caballo de Troya ha decidido derrotar a su mayor rival robando datos y eliminando el programa malicioso de los computadores infectados.
Los investigadores de seguridad dicen que el programa relativamente desconocido [ Spy Eye toolkit ] añadió esta funcionalidad hace sólo unos días en un intento de desplazar a su rival más grande, conocido como Zeus.
La función, denominada “Matar a Zeus”, al parecer elimina el software de Zeus de la PC de la víctima, dando a Spy Eye acceso exclusivo a los nombres de usuario y contraseñas.
Zeus y Spy Eye son conjuntos de herramientas para la fabricación de troyanos, diseñadas para darle a los criminales de una manera fácil de crear sus propias redes “botnets” de programas para robar contraseñas. Estos programas surgieron como un problema importante en 2009, y la Oficina Federal de Investigaciones de EE.UU. estimó en octubre pasado que habían causado $100 millones en pérdidas.
Troyanos como Zeus y Spy Eye roban las credenciales de banca en línea. Esta información luego se utiliza para vaciar cuentas bancarias mediante la transferencia de fondos a través de las llamadas mulas del dinero – residentes de EE.UU. con cuentas bancarias – que entonces mueven el dinero fuera del país.
Percibiendo una oportunidad, una serie de troyanos similares han surgido recientemente, incluyendo Silon, Clod y [Bugat], que se descubrió que el mes pasado.
Spy Eye apareció en los foros de delitos informáticos de Rusia en diciembre, según el gerente de investigación de Symantec Ben Greenbaum.
Sin embargo, con su opción “Mata a Zeus”, Spy Eye es el software delictivo más agresivo. El software también puede robar los datos cuando es transferido al servidor de comando y control de Zeus, dijo Kevin Stevens, investigador de SecureWorks. “Este autor sabe que Zeus tiene un mercado muy bueno, y está buscando meterse”, dijo.
Las guerras territoriales no son nada nuevo para los delincuentes cibernéticos. Hace dos años un programa malicioso llamado Storm Worm comenzó a atacar a los servidores controlados por un rival conocido como Srizbi. Y unos años antes de eso, los autores del gusano Netsky programaron su software para eliminar los programas rivales Bagle y MyDoom.
Spy Eye se vende por unos 500 dólares en el mercado negro, alrededor de una quinta parte del precio de las versiones premium de Zeus. Sin embargo, hasta la fecha, no ha sido visto en muchas PCs.
Aún así, el troyano se está desarrollando rápidamente y tiene una creciente lista de características, dijo Greenbaum. Puede, por ejemplo, robar información de contraseña almacenada en caché que se rellena automáticamente por el navegador y respaldarse vía correo electrónico. “Esto es interesante por su potencial, pero no es, actualmente, una amenaza generalizada en lo absoluto”, dijo.
Comentario:
Pues como deciamos en la noticia de ayer al respecto, el ELISTARA detectó (y con la 22.86 ya controló) la presencia del SPY EYE cuando aun ningun AV lo detectaba, pero hoy ya hemos publicado otra noticia al respecto en la que ya se visualiza la detección por 2 AV del VT, y a estas horas vamos a subir al VirusTotal actual a ver cuantos lo controlan ya.
File name: WINDOWS.BIN.EXE.Muestra EliStartPage v22.85
Submission date: 2011-03-23 14:41:55 (UTC)
Result: 7/ 43 (16.3%)
Ya va siendo controlado, en estos momentos por 7 AV, señal que va extendiendose… asi que lo de que “no es en absoluto una amenaza generalizada” ya forma parte del pasado !
saludos
ms, 23-3-2011
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.