El investigador Brian Krebs publicó el día de ayer un interesante informe en su blog, titulado "SpyEye v. ZeuS Rivalry Ends in Quiet Merger" (en español, "La rivalidad de Zeus y SpyEye termina en una amistosa fusión"). En el mismo, el autor cuenta cómo ingresando en diversos foros de (in)seguridad pudo obtener información respecto a Zeus, ya que su autor ha comunicado que dejará de desarrollar el troyano y, por ende, de dar soporte a aquellos "clientes" que compraron el paquete de crimeware.

Según lo que se ha estado mencionando en foros underground, el autor de Zeus (conocido como "Slavik" y "Monstr") dejaría de comercializar el troyano, y habría otorgado el código fuente del mismo al autor de SpyEye, otro crimeware similar, también especializado en el robo de información bancaria. En la siguiente imagen pueden observar cómo el autor de SpyEye (conocido como “Harderman” y “Gribodemon”) anuncia en un foro la noticia, y posteriormente una traducción al español de lo dicho:

Zeus y SypEye se fusionan

Buen día,

Voy a estar a cargo del producto Zeus desde hoy en adelante. Se me ha dado de forma gratuita su código para que los clientes que ya lo han comprado no se queden sin soporte técnico. Slavik no se hará más cargo del producto, ha borrado el código fuente de su computadora, ya no lo vende y no tiene más relación con él. Tampoco realizará más negocios por Internet y en unos días su información de contacto no estará más activa.

Me pidió que les informe que ha sido un placer trabajar con ustedes. Si tienen algún tema sin resolver con él, pónganse en contacto lo antes posible.

Todos los clientes que compraron el software a Slavik serán atendidos por mí con las mismas condiciones que lo venían haciendo, y pueden acudir directamente a mí por cualquier problema.

Gracias a todos por su atención.

Lo curioso de este hecho, es que SpyEye se caracterizó por ser "oposición" a Zeus, teniendo en cuenta que sus variantes verificaban si este estaba instalado en la computadora y lo desinstalaba de ser necesario, lo que demuestra que los atacantes pueden sorprendernos día a día, y que más allá de sus "rivalidades" su intención es económica y maliciosa.

¿Cuál es el impacto de esta noticia? En primer lugar podría aparecer un aspecto positivo: de una u otra forma, Zeus está desapareciendo, ya que aunque su soporte continuará, el mismo no seguirá siendo comercializado ni existirán nuevos desarrollos. Vale destacar que, aunque ya no será comercializado, todas las versiones de Zeus ya adquiridas siguen en funcionamiento, por lo que esto no representa la desaparición total de esta amenaza. Teniendo en cuenta que ha sido una de las botnets más utilizadas en el último año, a priori esta parece una buena noticia, ya que su estructura en crecimiento impactaba en altos índices de propagación e infección.

Sin embargo, según la investigación de Krebs, el propio autor de SypEye anunció en otros foros que las dos familias de amenazas serán "fusionadas en un poderoso troyano" en breve, por lo que es de esperarse que en los próximos meses aparezca una amenaza importante en términos de botnets. Esta no es una noticia tan alentadora: mientras SpyEye es una amenaza joven (su primera versión es del 2 de enero de 2010) que se ha caracterizado por ser muy eficiente, aunque aún no tan difundida, Zeus ha sido el bot más importante de los últimos meses; y la combinación de ambos podría ser muy importante.

A la fecha, los usuarios de ESET NOD32 están protegidos contra ambas amenazas, detectadas como Win32/Spy.SpyEye y Win32/Spy.Zbot, y nuestros laboratorios estarán trabajando para brindar ante nuevas variantes la protección proactiva que nos caracteriza.

Sebastián Bortnik
Coordinador de Awareness & Research