Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

viernes, 27 de marzo de 2009

Entidades financieras en la mira de la botnet Zeus. Segunda parte

La estructura de Zeus está constituida por módulos en php desde los cuales controla y ejecuta todas las acciones fraudulentas y dañinas para la cual fue concebido. Así, por ejemplo, es muy común encontrar archivos del tipo s.php, sS.php, x.php o similares que se encargan del control de comandos (C&C) de la bot.

Una vez establecida la infección, Zeus descarga un archivo cifrado del tipo .bin (generalmente cfg.bin) que es precisamente el archivo que especifica la configuración junto a una serie de instrucciones que indican el tipo de información que debe recolectar y dónde enviar.


Cuando este archivo es descifrado, podemos ver la configuración y las entidades financieras de las cuales Zeus realizará un monitoreo constante desde la zombi.


De esta manera, cuando el usuario accede a determinados formularios, Zeus intercepta la interacción en el browser capturando toda la información que su botmaster necesita para materializar el fraude.

La lista de entidades que se encuentran en la mira de Zeus es realmente larga, sin embargo, algunas de ellas son:

myspace.com
gruposantander.es
vr-networld-ebanking.de
finanzportal.fiducia.de
bankofamerica.com
bbva.es
bancaja.es
olb2.nationet.com
online.lloydstsb.co.uk
pastornetempresas.bancopastor.es
bancopopular.es
ebay.com
us.hsbc.com
e-gold.com
online.wellsfargo.com
wellsfargo.com
paypal.com
usbank.com
citizensbankonline.com
onlinebanking.nationalcity.com
suntrust.com
53.com
web.da-us.citibank.com
bancaonline.openbank.es
extranet.banesto.es
empresas.gruposantander.es
bbvanetoffice.com
bancajaproximaempresas.com
citibank.de
probanking.procreditbank.bg
ibank.internationalbanking.barclays.com
online-offshore.lloydstsb.com
dab-bank.com
hsbc.co.uk
bancoherrero.com
intelvia.cajamurcia.es
caixasabadell.net
areasegura.banif.es
privati.internetbanking.bancaintesa.it
iwbank.it
cardsonline-consumer.com
money.yandex.ru
e-gold.com
paypal.com


Estas estrategias maliciosas representan graves amenazas y dejan en evidencia que, aunque el correo electrónico todavía constituye un canal muy explotado para la propagación de malware, hoy es Internet quien funciona como base de ataques masivos a través de diferentes crimeware.

# pistus

Ver más