GameOver, variante de Zeus usa cifrado para evitar detección

El año empezó con nuevas variantes de malware que han sido descubiertas por varios investigadores de seguridad. Las nuevas variantes son más complejas, sofisticadas y más difíciles de detectar.

En 2012 el FBI advertía acerca del troyano bancario GameOver, una variante del malware Zeus que se propagaba por correo a través de phishing. GameOver hacía transacciones fraudulentas una vez que estaba instalado en el sistema, tenía la capacidad de llevar a cabo una denegación de servicio o incluso, una denegación de servicio distribuida (ataques a través de botnet que consisten en varios equipos que inundan al servidor de la entidad financiera con tráfico ilegítimo para negar a los usuarios acceso al sitio).

Pero ese no fue el final, una nueva variante de la misma familia de troyanos bancarios ha sido descubierta por los investigadores, está siendo desarrollada por los criminales cibernéticos para que las máquinas de los usuarios, hagan más fácil que el malware bancario pueda evadir la detección y robar credenciales bancarias de la víctima.

Malcovery’s Gary Warner explica en un blog el comportamiento de la nueva variante de Zeus, GameOver, que utiliza el cifrado para evitar los perímetros de seguridad.
Gary Warner advirtió que el malware ha estado trabajando junto con otro llamado UPATRE a través de técnicas de Ingeniería Social.

Una nueva versión de GameOver ha cifrado su archivo .exe a un formato no ejecutable por ejemplo .ENC, por lo que el malware que se propaga a través de correos electrónicos no deseados y archivos adjuntos maliciosos puede evitar ser detectado por los firewalls, IDS, filtros web y otras defensas de seguridad.

Para difundirlo a gran escala, hacen uso de una la campaña de correo no deseado, utilizando la botnet Cutwail, que está diseñada para parecerse a una correspondencia oficial de los bancos o de algunas agencias del gobierno y el usuario pueda abrirlo como archivo .zip.

Gary Warner explica que: “Estos archivos .zip contienen un pequeño archivo .exe cuyo trabajo principal es conectarse a Internet y descargar un archivo más grande, el malware más sofisticado que nunca pasaría a través de los filtros del correo no deseado sin causar alarma, pero debido a la forma en que trabaja la seguridad perimetral, a menudo se les permite ser descargado por un usuario conectado desde su estación de trabajo”.

Boldizsár Bencsáth, del Laboratorio Crysys en Hungría, ha explicado el método de cifrado en su blog el pasado domingo. “Los goteros enviadas a través de correos electrónicos son bastante pequeños, alrededor de 10 a 18 KB. Estos goteros tienen una capa de ofuscación, difíciles de analizar directamente”.

En el nuevo modelo, el archivo .zip que se encuentra adjunto al correo electrónico tiene una nueva versión de UPATRE que primero descarga el archivo .ENC desde Internet, a continuación, descifra, cambia la localización y renombra el archivo, posteriormente hace que se ejecute como tarea programada, escribió Warner.

 Fuente

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies