SpyEye + Zeus: el super troyano bancario

Los investigadores de seguridad de RSA han confirmado que el autor de SpyEye está trabajando en un "super troyano" mediante la fusión de las características de Zeus, añadiendo cosas propias y copiando directamente algunas partes de código.

Cuando el año pasado aparecieron los primeros rumores de que SpyEye y Zeus se fusionaban, después de que Slavik diera su código fuente a Harderman, alias Gribodemon, los investigadores de seguridad se mostraron escépticos.

Esto se debía a que, en aquel momento, SpyEye fue el mayor competidor de Zeus en el mercado negro e incluso incluyó una opción para "matar a Zeus".

Sin embargo, a partir del desarrollo de la versión 1.3, el malware comenzó a mostrar señales de que los rumores eran ciertos y las características de Zeus fueron poco a poco portándose a SpyEye.

La característica añadida desde Zeus más importante hasta ahora es el motor de inyección de código HTML para Internet Explorer, que es el componente central en estos troyanos bancarios.

Harderman reconoció que el mecanismo de Zeus fue prácticamente copiado en su totalidad, sin modificaciones importantes.

Según los investigadores de RSA, la razón principal por lo que el componente de inyección de Zeus era mejor es su manejo de las páginas en caché.

El viejo mecanismo de SpyEye sólo era capaz de inyectar código en páginas HTML que estaban siendo descargadas de Internet. El problema es que, tras visitas repetidas, el navegador carga la página desde su caché.

Debido a esto, SpyEye eliminaba la memoria caché después de cada inyección para asegurar que la página siempre se descargaba desde el servidor. Sin embargo Zeus es capaz de inyectar código malicioso en las páginas en caché, por lo que su mecanismo es más fiable.

Otras características destacables incluidas en la versión 1.3 de SpyEye son un método de cifrado para el archivo de configuración, un arquitectura ejecutable modular y encapsulable, recursos PE e inyección de procesos en remoto.

"RSA cree que el troyano Zeus poco a poco puede convertirse en una reliquia del pasado. Aunque el viejo Zeus todavía podría ser objeto de nuevas mejoras desde el mundo underground, lo más probable es que comience a desvanecerse a raíz de que se empiece a utilizar SpyEye, un troyano que incluye soporte técnico y actualizaciones de futuro", escriben los investigadores.


Fuente: Softpedia

Comentarios