Ataques de phishing a Facebook generados por ZeuS

Como lo hemos mencionado en otras oportunidades, ZeuS constituye una de las botnets más populares y más grandes que actualmente se conocen, y se caracteriza fundamentalmente por sus esfuerzos en robar información privada de los usuarios, principalmente credenciales de acceso al home-banking.

Sin embargo, no sólo se centra en obtener credenciales de acceso a cuentas bancarias, sino también obtener información de autenticación de otros servicios utilizados masivamente en Internet, como en este caso, credenciales de acceso a Facebook, una de las redes sociales más utilizadas.

A continuación vemos una captura de la pantalla de autenticación que, a pesar de ser similar a la real, es falsa y generada por ZeuS:

Falsa página de Facebook

De esta manera, el botmaster logra robar la información necesaria para continuar el reclutamiento de zombis empleando como cobertura esta popular red social. A partir del momento de la infección, el ciclo de propagación comienza a través de spam.

Ahora… ¿cómo se genera la infección? En el caso particular de esta variante de ZeuS, la infección se genera a través de la descarga de un archivo binario, en nuestro ejemplo, llamado word.exe que ESET NOD32 detecta bajo el nombre de Win32/Spy.Zbot.VM.

Una segunda alternativa de ataque e infección es a través de un archivo PDF, explotando determinada vulnerabilidad, generalmente, en las aplicaciones Adobe Reader, Adobe Acrobat y Foxit PDF. Es detectado como JS/Exploit.Pdfka.NNT trojan.

Evidentemente las alternativas maliciosas empleadas por ZeuS son muchas y, en la mayoría de los casos, muy efectivas; con lo cual un factor importante para ganar seguridad en nuestro sistema es la implementación de una solución de seguridad antivirus con capacidades heurísticas como el que ofrecen los productos de ESET.

Jorge

Autor , ESET

Síguenos