El troyano bancario Zeus regresa con una nueva fuerza
A principios de noviembre de 2017, los expertos en ciberseguridad comenzaron a aumentar la ansiedad entre los usuarios de Internet al difundir la advertencia sobre la manifestación de una nueva versión del troyano bancario Zeus.[1] Conocido como Zeus Panda, este tipo de malware peligroso[2] ha estado circulando en Internet desde junio, este año haciendo que los usuarios inconscientes de Google y otros motores de búsqueda sean engañados para que revelen sus credenciales bancarias y otras credenciales confidenciales.
Nueva versión: estrategia de distribución sin precedentes
El código del troyano bancario Zeus original se filtró en 2011. Desde entonces, varios grupos de cibervillanos lo explotaron para el desarrollo de nuevas variantes. Sin embargo, ni las versiones de ZeuS ni Zbot pueden compararse con Zeus Panda, que es la más prolífica y avanzada en términos de distribución, infiltración y rendimiento.
Zeus Panda no se basa en las antiguas técnicas de distribución del troyano Zeus
Los ciberdelincuentes se dirigen a un conjunto particular de palabras clave, que son consultadas por millones de personas. De esta manera en particular, aumenta la probabilidad de que una víctima potencial haga clic en el enlace malicioso. Desafortunadamente, Talos ya ha revelado una lista completa de palabras clave infectadas con Zeus Panda, un par de ejemplos:[4]
"Número de cuenta bancaria de nordea suecia"
"Horas de trabajo del banco al rajhi durante el ramadán"
"Cuántos dígitos en el número de cuenta bancaria karur vysya"
"Libros en línea gratuitos para el examen de empleado bancario"
"Cómo cancelar un cheque del Commonwealth Bank"
"Formato de boleta de sueldo en Excel con fórmula de descarga gratuita"
"Verificación del saldo de la cuenta del banco de baroda"
"Formato de garantía bancaria mt760"
"Libros en línea gratuitos para el examen de empleado bancario"
"Formulario de depósito recurrente de sbi bank"
"Enlace de descarga de banca móvil de Axis Bank"
Ejecución a través de documento de Microsoft Word
La apertura de un sitio web malicioso no ejecuta Zeus. Panda malware de inmediato. Cuando la víctima potencial ingresa una consulta de búsqueda comprometida en Google u otra búsqueda y abre un sitio web comprometido, él o ella experimenta una serie de redireccionamientos hasta que el sitio con un JavaScript disfrazado y un archivo .doc corrupto es abrió.
Si el navegador abre un documento de Microsoft Word, aparecerá una ventana emergente que le preguntará si desea "Activar edición", "Activar contenido" o advirtiendo que "las macros se han deshabilitado". Mientras las Macros no estén habilitadas, el ejecutable de Zeus Panda (PE32) no se puede inyectar. Al hacer clic en "Habilitar macros", se descarga el ejecutable malicioso y se guarda en el directorio% TEMP% del sistema con el nombre de archivo difícil de reconocer.
Panda Trojan actualmente se dirige a usuarios ubicados en Suecia, India, Australia y Arabia Saudita
Se ha descubierto que la nueva variante del troyano Zeus se dirige actualmente a usuarios suecos, indios, australianos y árabes. El alcance de sus desarrolladores no está claro, pero es fácil adivinar que no van a restringir la distribución del malware.
Incluso ahora, algunas de las palabras clave reveladas por Talos son bastante universales, por ejemplo, libros en línea gratuitos para el examen de empleado bancario "o" cómo cancelar un cheque de la Commonwealth Bank ".
Lo que hace que la campaña del troyano Zeus Panda sea la más prolífica y peligrosa es el hecho de que el malware no tiene una interfaz y presenta un mecanismo de autodestrucción bien desarrollado.[5] En otras palabras, no permite que el usuario de la PC infectada comprenda que el troyano está a bordo.
Además, para evitar la detección y el análisis, el virus Panda verifica el sistema antes de la ejecución y se ejecuta solo en un entorno sano. Al verificar el entorno virtual, el malware evita que se ejecute en máquinas virtuales.
El hecho de que los dispositivos con sede en Rusia, Bielorrusia, Ucrania y Kazajstán sean ignorados por la versión más reciente del troyano bancario ha suscitado varias especulaciones sobre su origen. Tras la instalación, comprueba el mapeo del teclado y si coincide con alguno de los países mencionados anteriormente, el Zeus Panda se destruye automáticamente.
El malware es difícil de detectar.
La variante Panda del troyano Zeus no tiene un comportamiento destructivo, lo que hace que sea difícil o prácticamente imposible de detectar. Si la víctima no utiliza una herramienta anti-malware profesional o la herramienta está desactualizada, el troyano puede robar la información personal de la víctima durante bastante tiempo.
Según los expertos en seguridad,[6] la mayoría de los programas anti-malware de buena reputación son capaces de reconocer el código troyano Zeus Panda. Por lo tanto, es recomendable instalar las últimas definiciones para su herramienta de seguridad y mantener la guardia alta.
Finalmente, tenga cuidado con el contenido en el que hace clic cuando navega. Si notó un enlace sospechoso, que contiene errores tipográficos o ingresa a un sitio web que provoca una serie de redireccionamientos y la necesidad de descargar PDF o Word, le recomendamos encarecidamente que omita el enlace de cerrar el sitio de inmediato a menos que esté cien por ciento seguro de que es seguro.