La botnet creada para el robo de bancos «Gameover Zeus”, adjudicada a pandillas del oeste de Europa, será muy difícil de desmantelar debido a su diseño peer to peer (P2P), según una investigación presentada en la Conferencia Black Hat.
La botnet es «una versión privada” desarrollada sobre código fuente de la antigua botnet ZeuS, cuyo propósito es realizar cibercrimenes financieros, indica Brett Stone-Gross, investigador de seguridad en Dell SecureWorks, quien publica un reporte analizando la botnet, descubierta por primera vez en enero. En vez de un servidor centralizado de control (command and control, como se les conoce en inglés), la botnet «se convierte en una red P2P”, indicó. Una botnet P2P tiene numerosas ventajas defensivas que le permiten escapar de un «apagón” por parte de las autoridades, porque «en P2P, no hay punto central que perseguir.”
Stone-Gross dijo que Dell SecureWorks encontró mucha información sobre Gameover ZeuS al «escanear los equipos”, y encontró evidencia de 678 mil equipos Windows infectados. «Es probablemente el mayor troyano bancario existente,” dijo. Todo funciona como una organización privada, probablemente desde Rusia y Ucrania, y no parece que el código P2P de ZeuS esté vendiéndose en línea a otros cibercriminales.
La mafia detrás de esta botnet depende de la botnet de spam Cutwail para «enviar masivas cantidades de correos electrónicos que pretenden provenir de marcas muy bien conocidas, inluyendo vendedores en internet, compañías de telefonía celular, redes sociales, e instituciones financieras,” de acuerdo al reporte de SecureWorks. Estos intentarán lograr que el usuario descargue lo que se conoce como el cargador «pony”, que «intenta descargar los binarios P2P de ZeuS desde tres servidores comprometidos”, añade el reporte.
En algunas maneras, la versión P2P del troyano ZeuS es muy parecida a sus predecesores, capturando información de la víctima mediante líneas de tecleo, captura de formatos y robo de credenciales. «Además, ZeuS provee la capacidad de modificar el HTML de un sitio web, y/o inyectar campos adicionales a los formatos electrónicos, de manera que las víctimas introduzcan información confidencial, un proceso conocido como inyecciones web.” La versión P2P de ZeuS soporta tanto direcciones IPv4 como IPv6.
«El equipo de desarrollo de ZeuS P2P firma digitalmente las configuraciones y binarios, para prevenir que otros atacantes introduzcan versiones aleatorias de estos archivos,” indica el reporte. «Además, algunos de los mensajes de control P2P (que por ejemplo, configuran los nodos de proxy HTTP) se firman para evitar envenenamientos.”
La botnet ZeuS P2P ha infectado a cientos de miles de PCs en 226 países, incluyendo Estados Unidos, Alemania e Italia como los principales afectados. La botnet roba fondos de las cuentas bancarias recolectadas mediante transferencias electrónicas, incluyendo aquellas del sistema ACH (Automated Clearinghouse) de Estados Unidos, hacia lo que les llaman cuentas «mula”, cómplices en el crimen.
El diseño P2P de Gameover ZeuS hará que desactivarla sea muy difícil, dijo Stone-Gross. Esto se vuelve evidente con lo que se esperaba fuera una desactivación exitosa de la botnet Hlux/Kelihos en marzo, a la que varios investigadores trataron de envenenar en conjunto, pero que ahora muestra clara evidencia de regresar a la vida. Stone-Gross también nota que Microsoft fue capaz de lograr una desactivación de servidores SpyEye y Zeus tradicionales, involucrados en crímenes financieros, en el mes de marzo, debido a que aquellas botnets eran centralizadas.
Fuente | UNAM