Como he mencionado en un post anterior, ZeuS (o Zbot) representa una de las botnet con mayor actividad de la actualidad formando parte del conjunto de aplicativos crimeware que permiten su administración vía web a través de una interfaz.
Sus diferentes módulos de ataque, escritos en PHP, le permiten al botmaster (o a cualquiera de los personajes que alquilan la botnet, como por ejemplo un spammer) llevar a cabo diferentes actividades de índole delictiva y propagar diferentes códigos maliciosos que colaboran con los ataques; siendo uno de los más activos, los ataques de phishing.
El Kit de este crimeware, ya posee una serie de archivos escritos en html donde cada uno de ellos es la clonación de la página web de diversas entidades bancarias, que ZeuS clasifica de acuerdo al idioma. Es decir, dentro de su estructura encontramos carpetas que alojan cada phishing en idioma español, inglés, ruso (este crimeware proviene de Rusia) y en algunos casos alemán dependiendo de la versión del Kit, listos para ser propagados por el ciberdelincuente.
La siguiente captura muestra el phishing a dos conocidas entidades bancarias:
Las posibilidades fraudulentas que ofrece la botnet son más amplias y no sólo posee clonaciones de páginas de entidades bancarias sino que también de compañías que ofrecen servicios a través de Internet. Entre las que forman parte de la nómina se encuentran:
- gruposantander.es
- finanzportal.fiducia.de
- bankofamerica.com
- bbva.es
- bancaja.es
- online.lloydstsb.co.uk
- bancopopular.es
- ebay.com
- us.hsbc.com
- e-gold.com
- paypal.com
- usbank.com
- citizensbankonline.com
- extranet.banesto.es
- citibank.de
- bancoherrero.com
Además, este crimeware propaga diferentes códigos maliciosos diseñados para realizar diferentes actividades delictivas.
Sin embargo, los usuario de ESET NOD32 pueden quedarse tranquilos ya que, gracias a la Heurística Avanzada de ESET, todos los códigos maliciosos propagados por esta amenaza son detectados.
Jorge
