Para las personas que no han oído hablar del troyano ZEUS, aquí les dejo esta información. El Troyano Zeus fue creado por el famoso hacker ruso llamado AZ, este hacker tenía como objetivo cambiar su viejo coche por uno último modelo y empezó a crear al troyano, logrando su objetivo mediante la venta de licencias del programa. Muchas de las mafias y compradores de este troyano se han hecho millonarios también, pues la funcionalidad del troyano es la de robar datos de acceso a cuentas bancarias online o a sitios transaccionales.
Por decirlo de una manera más clara, Zeus es el terror de las transacciones en línea y aunque tiene unas características especiales que lo hacen indetectable ante la gran mayoría de antivirus, su fortaleza radica en el ataque MAN IN THE BROWSER es decir a diferencia del MAN IN THE MIDDLE este logra meterse directamente en el navegador de la víctima y recolectar la información que requiere para realizar el fraude, no se trata de una página falsa como en el ataque de PHISHING simplemente agrega a la página original de la entidad Financiera a la que desea afectar, nuevos campos para que sean diligenciados por la victima, esto lo puede hacer debido a la infección que realiza del sistema operativo y del navegador.
Otro aspecto que me pareció interesante es la forma en la que se infecta la víctima. Esto lo realizan mediante la visita a una página WEB y la víctima ni siquiera nota que ha sido infectado.
Ahora bien para que Zeus opere veamos la anatomía básica de un ataque (TODO ES DE CARÁCTER EDUCATIVO Y NO DEBE SER USADO PARA CAUSAR DAÑO).
Debido a que este tema es delicado incluso es investigado por el FBI y por varias autoridades se reservaron algunos detalles técnicos y profundidad en el tema, a continuación los pasos básicos del ataque:
infectar :
Autor:Ing. Esp. Jorge Mario Rodríguez F, CISSP – CISM - CHFI
- Compra en foros de cybercriminales los programas ZEUS, MPACK u otro PACK de infección.
- Compra de Hosting para el control remoto de las maquinas infectadas.
- Compra de Hosting para la colocación del paquete que infecta.
- Selección de la página WEB que se desea, sirva como fuente de infección para la víctima, esta debe ser una página muy visitada para tener mayor espectro de difusión del troyano.s herramientas necesarias para el ataque y determinar la página que se desea infectar :
- Una vez se cuenta con la información anterior se procede con la infección de la página que va ser utilizada para propagar el troyano.
- El troyano se configura para atacar a los diferentes sitios online (bancos, paypal, amazon, etc) que se desean, colocando las direcciones WEB respectivas.
- La víctima visita el sitio infectado, se infecta y no es detectado por el antivirus.
- El atacante recibe el reporte de que la victima ha sido infectada y procede con el control total de la máquina, reconfigura el troyano según lo considere o simplemente espera.
- La víctima visita su entidad financiera y en el navegador aparecen campos nuevos que le solicitan información adicional, la cual al ser digitada por la víctima es remitida al centro del control o web site definido por el atacante, esto puede ser incluso en línea con alertas de tal modo que se pueden robar también códigos OTP (one time password).
- El atacante usa la información recolectada para cometerle fraude a la víctima.
Autor:Ing. Esp. Jorge Mario Rodríguez F, CISSP – CISM - CHFI
