Análisis de malware

Zeus Esfinge: Qué es, cómo funciona y cómo prevenirlo | Destacado malware

12 de agosto de por Greg Belding

Introducción

Cuando algo se describe como “resurgiendo de las cenizas”, normalmente nos viene a la mente la criatura mitológica conocida como fénix. Para aquellos que investigan malware, es posible que pronto quieran cambiar “phoenix” por “Zeus Sphinx”.

Este malware solía ser una amenaza persistente para bancos e instituciones financieras en y aparentemente desapareció. A partir de diciembre de (y especialmente después de la pandemia de COVID-19), Zeus Sphinx ha experimentado un marcado resurgimiento y se ha observado que aprovecha la pandemia para difundir su malicia.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

Este artículo detallará el malware Zeus Sphinx con respecto a su reciente resurgimiento. Exploraremos qué es, cómo funciona y cómo usted puede evitar convertirse en víctima.

¿Qué es la Esfinge de Zeus?

Zeus Sphinx (también conocido como Zloader o Terdot) no es una fusión de dos criaturas mitológicas ni el último vehículo crossover de moda. En cambio, es un malware que data de. Pero al igual que un virus que no desaparece, Zeus Sphinx reapareció en diciembre de. Este regreso se vio impulsado por la crisis de COVID-19, donde Zeus Sphinx utilizó COVID-19 como tapa para inducir a los usuarios a descargar el malware.

Cuando apareció por primera vez Zeus Sphinx, el malware era un troyano bancario que primero apuntó a bancos en los Estados Unidos y luego extendió su alcance a Canadá y Brasil. Después de una breve pausa, este malware comenzó a reaparecer lentamente en diciembre de y los investigadores concluyeron que los operadores estaban probando el malware para futuras implementaciones a gran escala. A partir de marzo o abril de, los ataques de Zeus Sphinx aumentaron significativamente, con algunas modificaciones y una táctica de explotar la pandemia de COVID-19 para atacar bancos en América del Norte.

Las modificaciones observadas en las nuevas versiones de Zeus Sphinx no son nada digno de mención. Los investigadores de IBM han descubierto que el malware se ha vuelto más eficiente a la hora de robar información bancaria y financiera, que es el objetivo principal del malware. También cuenta con una nueva infraestructura de servidor de comando y control (C2) y nuevos métodos para mantener la persistencia durante un ataque.

Estas funcionalidades mejoradas, combinadas con el uso de COVID-19 como un abuso de confianza de víctimas potenciales, refuerzan la advertencia que un informe reciente de IBM ha indicado sobre el malware: que las instituciones financieras deben tener en cuenta el regreso de Zeus Sphinx, así como de nuevos víctimas potenciales.

¿Cómo funciona la Esfinge de Zeus?

Basado en el código base de Zeus v2.0.8.9, este malware ingresa a un sistema a través de campañas de phishing y spam. Este resurgimiento de Zeus Sphinx depende en gran medida del factor de confianza involucrado en los correos electrónicos y archivos adjuntos que hacen referencia a COVID-19.

Un nombre de documento malicioso de uso frecuente que ha atrapado a los usuarios recientemente es “alivio COVID-19”. Este ángulo que han adoptado los operadores de Zeus Sphinx ha llevado a los investigadores a creer que estas nuevas campañas de ataque de Zeus Sphinx se aprovechan de las expectativas de los usuarios de recibir pagos de ayuda por COVID-19 del gobierno federal. Esto está en línea con una gran cantidad de otros programas maliciosos que se están aprovechando de esta crisis. De hecho, el uso de campañas de spam relacionadas con COVID ha aumentado un 6000% desde principios de.

Se ha observado que Zeus Sphinx engaña a los usuarios con un formulario malicioso que les pide que inserten datos personales para poder recibir su dinero. (Tenga en cuenta que el gobierno nunca le pedirá que envíe información personal para recibir un pago de ayuda por COVID-19). Cuando el usuario acepta las macros maliciosas en el archivo, el malware comienza a implementarse y se recupera el descargador de malware. Mejoran la eficacia de este documento malicioso, ya que está protegido con contraseña para que los usuarios no puedan analizar el archivo.

Después de implantarse en una computadora, el malware agrega una clave de ejecución del Registro de Windows como un archivo de biblioteca de vínculos dinámicos o un ejecutable malicioso para ayudar en la persistencia. Zeus Sphinx aumenta su capacidad de persistencia mediante la creación de un archivo llamado msiexec.exe, que ayuda a ocultar su actividad de las herramientas y análisis de seguridad. También se sabe que implementa técnicas de enlace e inyección en el navegador para robar aún más información personal de los usuarios. Un ejemplo de esto son las ventanas emergentes del navegador durante la sesión que solicitan información personal que pueden ayudar a los atacantes a robar datos financieros y de tarjetas bancarias.

Otra actualización importante de Zeus Sphinx desde su última ejecución en la naturaleza es una clave de cifrado RC4 para la comunicación con el servidor de comando y control. Esto permite comunicaciones más sigilosas con este servidor durante los ataques y también permite a los atacantes utilizar el dispositivo infectado en una botnet.

Cómo prevenir la Esfinge de Zeus

Afortunadamente, puedes hacer bastante para evitar que Zeus Sphinx infecte tu sistema (o el de tu organización). A continuación se muestra una lista de recomendaciones que incluso aquellos que no son los más expertos en seguridad de la información pueden hacer para evitarlo:

• Utilice una solución de seguridad de Internet respetada
• Asegúrese de que su sistema y software estén actualizados
• Tenga cuidado al hacer clic en enlaces desconocidos y, si es posible, confirme que el enlace proviene de una parte que conoce.
• Comunique a su organización la importancia de mantener elevada su conciencia sobre la ciberseguridad durante esta crisis. Intente incorporar ejemplos de correos electrónicos no deseados y de phishing de COVID-19 en el programa de concientización sobre ciberseguridad de su organización.

Conclusión

Zeus Sphinx ha resurgido desde diciembre de. Una vez que despegó la pandemia de COVID-19, Zeus Sphinx comenzó a aprovechar la situación y a utilizar la cobertura de la crisis para extenderse a posibles víctimas.

A pesar de ser una amenaza más eficaz que la primera vez, se puede prevenir la infección utilizando la concienciación estándar sobre ciberseguridad y no dejándose engañar por aquellos que aprovecharán una emergencia médica en aras de ganancias ilícitas.

Fuentes

1. Troyano Zeus Sphinx mejorado utilizado en esquemas COVID-19 , Blog BankInfoSecurity
2. El malware Sphinx regresa para enigmar los objetivos de EE. UU. , Threatpost
3. Zeus Sphinx resurge de las cenizas , Cyware Social