La empresa de seguridad Trusteer se ha encontrado con una variante de Zeus que busca engañar a los usuarios de Facebook, Yahoo, Gmail y Hotmail para robarles sus tarjetas de débito. Este troyano está diseñado para robar todo tipo de información, principalmente bancaria, empleando diversas técnicas.
Una de ellas consiste en inyectar elementos falsos en las páginas para solicitar información confidencial, esto sucede solamente en las computadoras de los usuarios infectados y suele ser difícil de detectar a simple vista (ver ejemplo de una página bancaria modificada).
Veamos el ejemplo con Facebook. Cuando la víctima accede a su perfil se le muestra un formulario falso donde se le solicita la información de la tarjeta bajo la excusa de obtener un 20% de descuento en la compra de créditos:
Si bien puede resultar sospechoso, al aparecer dentro de la propia página de Facebook como un elemento más, el engaño es muchísimo más creíble.
Con los webmails de Gmail, Yahoo y Hotmail sucede algo similar, todas las capturas se pueden ver en el blog de Trusteer. En este caso la excusa para solicitar la información es un supuesto nuevo servicio que permitiría asociar las tarjetas a las cuentas de e-mail y de esta forma poder realizar pagos online de forma más rápida y segura:
Zeus ha dado mucho que hablar en los últimos años, los ciberdelincuentes llegan a pagar miles de dólares por versiones personalizadas del kit lo cual sugiere que las ganancias que obtienen son bastante grandes. El año pasado su código fuente fue robado, comenzó a circular por diversos foros y hoy en día cualquiera lo puede descargar. Esto les permitió a los investigadores analizarlo en profundidad y por supuesto a muchos atacantes crear sus propias versiones modificadas.
En marzo de este año en una operación liderada por Microsoft, se incautaron varios servidores que se encontraban en Estados Unidos y eran utilizados como C&C (centros de comando y control). Por supuesto esto no le puso fin al reinado de Zeus, hay servidores activos repartidos por todo el globo (ver zeustracker.abuse.ch) pero se lograron desmantelar varias botnets.
Ver también:
Variante de Zeus que no infecta equipos lentos.
ZitMo, la versión de Zeus para móviles ataca de nuevo.