En los últimos tiempos las técnicas utilizadas para propagar códigos maliciosos han evolucionado de forma importante con un marcado patrón en la utilización de Internet como plataforma de ataque.
En este sentido, El troyano Waledac fue uno de los primeros que comenzó a emplear lo que se conoce bajo el término BlackHat SEO para forman nombres de dominios llamativos en base a palabras ampliamente solicitadas a través de los buscadores.
Ahora, la familia de troyanos detectados por ESET con el nombre genérico de Zbot y responsable de reclutar zombis para la botnet ZeuS, utiliza una estrategia de BlackHat SEO similar pero utilizando como cobertura el nombre de Amazon y su servicio Elastic Compute Cloud (Amazon EC2).
El ciclo de propagación comienza a partir de un correo electrónico cuyo mensaje supuestamente es emitido por la empresa Amazon y publicitando su servicio EC2, que se suma al concepto de Cloud Computing. El mensaje posee un enlace que redirecciona a un sitio web bajo un nombre de dominio que involucra la palabra "Amazon" pero que en realidad no pertenece a esta compañía.
En esa instancia, se intenta descargar un binario llamado "bot.exe" que es detectado por ESET NOD32 como una variante de Win32/Spy.Zbot.NJ. A continuación vemos una captura donde se observa el acceso al panel de control (C&C) de ZeuS y cuyo dominio se encuentra formado por la palabra "Amazon" y el acrónimo "EC2".
ZeuS es una de las botnets más populares con casi tres años de un importante nivel de actividades fraudulentas, sobre todo relacionadas a ataques de phishing como lo hemos mencionado en otra oportunidad.
Sin embargo, además de ello, este ejemplo concreto demuestra que la industria formada a través del crimeware supone un negocio en constante evolución por parte de quienes se encuentran detrás de estas acciones delictivas, y que además canalizan todos sus esfuerzos en idear estrategias que permitan mimetizarse entre las nuevas tecnologías, en este caso, simulando servicios soportados a través de Cloud Computing y muy conocido como Amazon.
Sin lugar a dudas, este tipo de situación es cada vez más común, lo cual deja en completa evidencia la necesidad de implementar, tanto a nivel hogareño como corporativo, soluciones de seguridad antivirus proactivas como las que ofrece ESET.
Jorge Mieres
Analista de Seguridad
