El troyano Zbot o Zeus es uno de los programas de malware más antiguos utilizados para robar información bancaria de las víctimas seleccionadas. El creador le vendió el código de Zeus a un competidor, pero durante años fueron saliendo diversas variantes. De hecho, hoy en día siguen saliendo variantes de Zeus. Lo que comenzó como un troyano bancario se ha convertido en un paquete de malware que incluye keyloggers, scripts de inyección en navegadores, ransomware y una avanzada red de comunicaciones “peer-to-peer”.

Historia

Zeus fue identificado en 2007, pero se cree que su autor, Evgeniy Bogachev (“Slavic”), creó el malware en 2005. Inicialmente, estaba diseñado para ejecutar un keylogger en el equipo objetivo para robar información bancaria. Pero Slavic agregó funcionalidades para inyectar scripts web y comunicaciones “peer-to-peer” para crear funcionalidades de botnet entre todas las máquinas infectadas por Zbot.

En 2010, Slavic anunció su “retiro” y sus intenciones de venderle el código de Zeus a un malware competidor, SpyEye, que desactivaba y eliminaba al Zeus de un equipo objetivo para instalar su propio código. Poco después de que Slavic se retirase, la base de código fue publicada, y varios grupos de hackers crearon sus propias versiones de Zeus. Zeus infectó a millones de equipos, y solamente Slavic tenía las claves privadas para actualizar el código y acceder a la red “peer-to-peer”, lo que hizo pensar a los investigadores que Slavic nunca se retiró realmente.

Actualmente, una variante popular del troyano Zbot es GameOver Zeus. Este contiene las bases de Zeus, incluyendo la red de comunicaciones “peer-to-peer” con ransomware. El ransomware actúa como un “seguro” en caso de que el malware no logre robar información bancaria. Durante un corto tiempo, los investigadores lograron evitar que GameOver Zeus se comunicara y funcionara eficazmente, pero los autores cambiaron el código para evadir los controles de los investigadores.

Cómo funciona Zbot

Zbot típicamente comienza con un correo electrónico de phishing con un enlace malintencionado para un usuario objetivo, con la idea de que este descargue el malware o un archivo adjunto usado para descargar el malware después de que un usuario lo ejecute. El primer paso es soltar el malware en el sistema local para permitirle comunicarse con centro de control y comando de Zbot. El equipo local también se vuelve parte de una botnet del troyano Zbot, lo que le da al dueño de la botnet un control total sobre el dispositivo. La botnet también otorga acceso al atacante a los datos del equipo local.

El Zeus original instala un keylogger, una aplicación de malware usada para registrar pulsaciones de teclas realizadas en el teclado de un equipo. Cada vez que un usuario objetivo escribe una URL, nombre de usuario y contraseña en un navegador, un keylogger graba la información y se la envía al centro de control y comando. Esta actividad es invisible para el usuario, así que continúa hasta que el usuario determina que el malware se está ejecutando en el equipo.

Después de varios años, los autores del virus Zeus añadieron un componente “web inject” (en español, literalmente, “inyección web”). Este componente añadía código de JavaScript malintencionado a una página bancaria y engañaba a los usuarios para hacerlos divulgar información delicada. Los componentes webinject evaden la autenticación de múltiples factores y se roban los datos directamente de las cuentas de determinados usuarios.

Si un usuario instala GameOver Zeus, el malware instala ransomware además del componente que roba la información de las cuentas. El ransomware incluido funciona de manera similar a otros ransomware que hay en internet. Escanea el equipo local y también cualquier unidad compartida para buscar archivos clave. Después, el ransomware cifra los archivos con un algoritmo seguro y alerta al usuario de la infección. Al usuario se le entrega una nota de rescate en la que se le indica cómo pagar el rescate para recuperar sus archivos.

Cómo afecta Zeus a los ordenadores

El Zeus es fundamentalmente un crimeware, así que su función principal es robarse la información bancaria de un usuario. El componente webinject ejecuta buena parte de la funcionalidad para robar la información bancaria de un usuario, pero la botnet y las comunicaciones “peer-to-peer” le hacen único. También tiene una funcionalidad de proxy que se usa para proteger contra cualquier detección al servidor de control y comando.

Inicialmente, todas las redes “peer-to-peer” tienen su propia base, gestionada por su dueño. Los investigadores opinan que la botnet se usaba para proteger infraestructuras críticas contra la detección, cosa que aparentemente funcionó durante años. Slavic se asoció con diversos cibercriminales, así que cualquier miembro del grupo podría haber controlado a su propia botnet. Sin embargo, Slavic tenía acceso exclusivo a toda la infraestructura del “back-end”. Slavic podía acceder a la red “peer-to-peer” para actualizar software, recuperar datos o simplemente espiar en las actividades. Mantuvo un control total sobre Zbot incluso mientras un grupo de cibercriminales poseía la red entera.

Cuando el ordenador de un usuario objetivo queda afectado por GameOver Zeus con ransomware, el ordenador seguramente quedará inutilizado. Uno de los motivos por los que el ransomware es eficaz para extorsionar a las empresas es su capacidad de escanear. El ransomware escanea unidades mapeadas, que suelen incluir servidores de la red. Los archivos del entorno quedan irreversiblemente cifrados, así que los ordenadores vulnerables al ransomware quedan inutilizados, incluyendo servidores que ejecutan aplicaciones clave. Si los servidores o estaciones de trabajo se reinician, podrían colgarse o ya no estar accesibles a los usuarios. En muchos casos, la única manera que tienen los administradores de recuperarse de este tipo de ataques es hacer una imagen del servidor, lo que implica una instalación limpia del sistema operativo y la recuperación de los archivos cifrados desde el respaldo. El tiempo empleado en la recuperación ante la catástrofe es tiempo durante el cual la corporación no puede operar, cosa que se suele traducir en cuantiosas pérdidas económicas.

¿Qué daños puede causar Zeus?

Un componente clave en el malware sofisticado es la capacidad de permanecer activo en un entorno sin administradores o usuarios que detecten su presencia. Zeus se considera una de las aplicaciones de malware más sofisticadas que existen, y ha sobrevivido durante 15 años. El malware tiene dos objetivos principales: robar información bancaria y circunscribir las comunicaciones con otros ordenadores a la botnet.

El virus Zeus se incrusta en el sistema informático para poder robar datos continuamente, comunicarse con el servidor de control y comando, e inyectarse en páginas web de cuentas bancarias. No busca causar daños en los ordenadores a menos que el equipo objetivo esté infectado con GameOver Zeus, una variante que contiene ransomware.

Después de que el ordenador objetivo se añade a la botnet, se comunica con el servidor de control y comando. Un atacante supervisa al servidor de control y comando y puede ejecutar comandos en el ordenador infectado, como acceder a control remoto o enviar datos robados a un atacante. En primera instancia, este virus busca robar información bancaria, así que monitoriza continuamente la actividad de navegadores web para identificar credenciales bancarias e inyectar scripts malintencionados en páginas web abiertas.

Algunos autores de malware crean virus para destruir ordenadores, pero los creadores de Zeus diseñaron el malware para evitar su detección y dejar que los usuarios trabajen sin interrupciones. Mientras más tiempo permanezca el malware en un ordenador, más datos podrá extraer el atacante de la actividad de los usuarios. Cada ordenador en la botnet puede usarse también como respaldo en caso de que otro ordenador se desconecte de la red del malware.

¿A quién ataca Zeus?

Zeus no tiene un objetivo “oficial”. El malware orientado a empresas se diseña para interrumpir la productividad o extorsionar dinero, típicamente en el orden de los millones de dólares. Pretende robar credenciales bancarias para que los atacantes puedan robarle dinero tanto a individuos como a empresas. Los atacantes con control de una botnet específica podrían enfocarse en empresas específicas, pero el malware está diseñado para operar en servidores, dispositivos Android y estaciones de trabajo Windows.

Zeus ha ampliado su gama de víctimas añadiendo dispositivos Android a su troyano exclusivo para Windows y también gobiernos a sus objetivos. El componente de control y comando les brinda acceso a los atacantes los datos de los equipos locales, así que los gobiernos se arriesgan a perder secretos comerciales e información privada si cualquiera de sus estaciones de trabajo resulta comprometida con este malware.

El malware y las botnet Zeus ya han robado datos a diversas agencias gubernamentales notables, así como a empresas privadas. Los atacantes lo han usado para robar datos a la NASA, el Departamento de Transporte (DOT) de los EE. UU., Bank of America, Amazon, Oracle, ABC y Cisco.

Troyano Zeus vs. GameOver Zeus: comprendiendo las diferencias

Los atacantes con acceso al código fuente original de Zeus ya han creado diversas variantes. Una de las variantes recientes es GameOver Zeus, que es mucho más sofisticada que su predecesora. GameOver Zeus también tiene un componente de botnet, pero añade una capa de seguridad de cifrado a los datos de comunicaciones para protegerlos de las investigaciones de las autoridades.

Como mencionamos anteriormente, GameOver Zeus tiene las mismas funcionalidades del original, además de cifrado de comunicaciones y ransomware CryptoLocker. Ambas variantes causan daño financiero a un objetivo, pero el componente CryptoLocker en GameOver Zeus seguramente es el más peligroso para organizaciones e individuos.

Después de que un usuario objetivo instala GameOver Zeus, el ordenador del usuario se une a la botnet estándar de Zeus, pero entonces el ransomware CryptoLocker dispara sus funciones. CryptoLocker busca entre una lista de más de 150 extensiones y tipos de archivos, y cifra los datos. Los archivos solo se pueden descifrar con la clave privada después de que la víctima seleccionada paga el rescate.

En 2014, los investigadores interceptaron la clave privada de GameOver Zeus, de modo que cualquier víctima de CryptoLocker podría descifrar sus archivos. Los desarrolladores de GameOver Zeus rápidamente cambiaron su código para evadir a los investigadores, aunque por un tiempo limitado, fue posible remediar los efectos de GameOver Zeus.

Prevención

Los individuos y organizaciones pueden seguir una variedad de pasos para detener al troyano Zeus y evitar que se instale en sus equipos. El primer paso es capacitar a los empleados para que identifiquen correos electrónicos de phishing, cosa que se puede hacer desarrollando un programa de capacitación para conciencia de seguridad. La mayoría de las instalaciones comienzan con un correo electrónico de phishing. El correo electrónico de phishing contiene un script para descargar Zeus o un enlace desde el que los usuarios pueden descargarlo a sus navegadores.

Mantenga actualizado todo el software antimalware y antivirus para garantizar que identifiquen y detengan a los ataques más recientes. Nunca debe basarse exclusivamente en software antivirus, pero estos ayudan a parar muchas amenazas comunes, incluyendo a Zeus. Las actualizaciones garantizan que el software antivirus identifique a las más recientes variantes.

Zeus roba contraseñas almacenadas en navegadores y gestores de contraseñas. No almacene contraseñas en el equipo. Si usa un gestor de contraseñas, no almacene la clave privada para acceder al gestor de contraseñas.

Los empleados nunca deben descargar software pirata. El software pirata suele contener malware oculto que se instala durante la instalación de software legítimo. Descargue siempre software de fuentes legítimas y use solamente versiones con licencia de software.

Cómo eliminar al Zeus

La única manera de eliminarlo de un ordenador es usar software antivirus. No podrá descifrar archivos si el CryptoLocker los ha cifrado, pero sí puede eliminar al Zeus y a la botnet usando un buen antivirus.

Los pasos básicos para eliminar al Zeus:

  1. Descargue e instale su software antivirus.
  2. Reinicie su equipo Windows en modo seguro sin soporte para red. Esto evita que se conecte con su botnet.
  3. Permita que el software antivirus escanee su ordenador.
  4. Deje que el antivirus elimine cualquier malware en su ordenador. Siga las instrucciones que el antivirus le muestra.

Cómo puede ayudar Proofpoint

Para poder detener a Zeus y otras variedades, las organizaciones deben tener unas estrategias de nivel corporativo para su gestión de riesgos y contra el malware. Proofpoint puede ayudar a los administradores a crear estrategias e infraestructuras de seguridad para frenar a Zeus, al ransomware, al malware de botnet y a otras aplicaciones que podrían hacer daño a su empresa.

Ebook: Guía de supervivencia frente al ransomware

Aprenda qué hacer antes, durante y después de un ataque de ransomware con nuestra Guía de supervivencia frente al ransomware para 2022.

Casos de éxito de clientes

Conozca a clientes de Proofpoint de todo el mundo y descubra las ventajas de asociarse con Proofpoint.

¿Qué es la ciberseguridad y la seguridad en la red?

¿Qué es la ciberseguridad? Conozca su evolución, en qué consiste la seguridad en la red y la protección ante ciberataques.