Investigación

¡ZeuS está vivo!

Hace poco se hizo obvio que los creadores de ZeuS habían compartido el diseño de su programa con el creador de otro troyano llamado SpyEye. Ahora es cuestión de esperar para conocer al monstruo que puede resultar al combinar los dos programas espía. El autor de SpyEye seguro extraerá lo más valioso de ZeuS para implementarlo en SpyEye. Algunos analistas ya encontraron una pieza del código de ZeuS en un ejemplar de SpyEye.


Section of SpyEye code identical to that in ZeuS

No esperábamos que aparecieran nuevas modificaciones de ZeuS después de que se lo transfiriera al nuevo dueño. Por supuesto, seguimos detectando muestras de ZeuS muy seguido, pero casi todas son versiones conocidas del programa malicioso. Las variantes nuevas suelen ser el resultado de una reconstrucción que se puede realizar sin problema con programas que se conocen como “paquetes Zeus Builder”. Pero de vez en cuando encuentro variantes inusuales del troyano, y ahora tengo una muy buena razón para creer que los dueños de Zeus lo siguen manteniendo y desarrollando.

Hace dos meses notamos que ZeuS tenía una nueva funcionalidad: trataba de detectar si lo estaban estudiando en una plataforma de pruebas, por ejemplo la caja de arena de una empresa de investigaciones. ZeuS detenía el proceso si descubría signos que indicaran que se estaba ejecutando en un ambiente creado para analizar su comportamiento.

Este es un ejemplo de una de estas revisiones: ZeuS verifica si lo están ejecutando en un sistema VMware al abrir un dispositivo específico para esa máquina virtual:


Primera revisión para ver si ZeuS se está ejecutando en una máquina virtual VMware


Segunda revisión para ver si ZeuS se está ejecutando en una máquina virtual VMware

Hace algunas semanas, apareció una variante de ZeuS diferente, que mostraba un comportamiento inusual para esa familia. Todas las últimas variantes de ZeuS tienen el mismo algoritmo para decodificar una sección de su código que contiene la configuración inicial interna del troyano (un enlace que se utiliza para descargar el archivo de configuración, llave de codificación del tráfico, etc.). El ejemplar inusual tenía una doble codificación. Primero, todos los datos estaban codificados con el algoritmo estándar, pero la dirección al archivo de configuración era falsa. El enlace genuino al archivo de configuración, que contenía la dirección del centro de comando de la red zombi, sólo se podía revelar después de la segunda codificación.

Abajo pueden ver cómo se ve esto en la práctica. Después de la primera decodificación pueden ver las configuraciones iniciales (resaltadas en verde), pero el enlace de abajo es falso. El enlace verdadero está escondido en el sector resaltado en rojo que sólo aparece después de la segunda decodificación.


Sección de decodificación de datos primarios.

Hace unos días encontré otro ejemplar de ZeuS que también trata de descubrir si está siendo analizado, por ejemplo, por empresas antivirus. La funcionalidad es muy similar, pero con menos modificaciones: se agregó otro criterio para detectar nuevas plataformas de pruebas.

En esta variante de ZeuS, también hay modificaciones de la estructura en partes del código, que se ha mantenido sin cambios por más de 6 meses y se ha utilizado en miles de ejemplares del troyano.


Modificaciones a una pieza del código de ZeuS que antes no se había alterado.

Los cambios al código muestran que se creó el ejemplar usando una versión nueva y re-compilada de Zeus Builder.

La funcionalidad capaz de detectar una plataforma de pruebas es única. Parece que la agregaron a la funcionalidad estándar de ZeuS como una opción adicional. Esto da a entender que los pocos clientes VIP que quedan de ZeuS siguen recibiendo asistencia técnica.

¿Qué significa esto? ¿Es esta la agonía de un “dios” en su lecho de muerte o su resurrección? Quizás ZeuS comience a difundirse menos, se vuelva más exclusivo, dirigido a algunos pocos en vez de a las masas. Sin duda, el tiempo lo dirá…

¡ZeuS está vivo!

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada