Zeus ha sido sin lugar a dudas uno de los paquetes de crimeware más importantes de los últimos años, y con seguridad una de las botnet más utilizadas por los ciber criminales en todo el mundo. Hace unos meses circuló la noticia de que el creador de Zeus dejaría de comercializar el paquete, lo que despertó en gran parte del público la sensación de que comenzaríamos a observar el fin, y que la "buena noticia" era motivo para alegrarse. Sin embargo, a pesar de ser positivo el hecho de que no veamos por el propio creador nuevas versiones de esta amenaza, la realidad es que aún falta un tiempo considerable para que dejemos de observar redes botnet utilizando Zeus, y esta semana hemos tenido un nuevo motivo para corroborar que esto así será.
En primer lugar, vale destacar que ya a las pocas semanas de circular la noticia, se pudo observar en foros el rumor (aún no confirmado en la práctica) de que Zeus se fusionaría con SpyEye, ya que el creador de este último informó que va a estar "a cargo del producto Zeus", y no descartó una nueva versión que incluya los beneficios de ambos paquetes.
Esta semana, una noticia nos da una extensión de la primera y un segundo motivo a considerar: al parecer el código de Zeus está siendo vendido en el mercado negro. Según las investigaciones de CSIS, empresa dinamarquesa de seguridad, hay varios motivos para pensar que el código fuente de la botnet Zeus está siendo comercializado, ya que han encontrado varias ofertas en la web sobre este tema, incluso muchas de ellas muestran capturas de pantalla que mostrarían, no sólo el archivo constructor de la botnet (para crear los archivos maliciosos), sino también parte del código fuente de la misma. El mensaje, encontrado en ciertos foros, dice algo así como "Hey! Vendo el código fuente de la última versión del Bot Zeus, a un precio más barato que el autor. No vendo los binarios", y se acompaña de la siguiente imagen:
Además, hay otros dos motivos por los que Zeus, y los códigos maliciosos relacionados, detectados por ESET NOD32 como Win32/Zbot, aún no desaparecerán. El primero de ellos (el tercero en cuestión), es que a pesar de que el autor dejó de comercializar el paquete, el mismo ya fue vendido a muchas personas, que pueden ahora compartirlo o re distribuirlo, por lo que aún es posible instalar una botnet con Zeus, ya que de hecho sigue siendo un paquete funcional y que responde a las necesidades de los botmasters en la actualidad.
El último motivo por el cual Zeus aún no desaparecerá, está directamente relacionado al anterior: aún hay una gran cantidad de redes botnet activas con Zeus instalado. Según Shadow Server, hay más de cinco mil redes botnet activas, y sin lugar a dudas muchas de ellas aún están utilizando esta aplicación. De hecho, las estadísticas extraídas del sistema de alerta temprana de ESET, ThreatSense.Net, corroboran el dato. Según el informe Tendencias 2011: las botnet y el malware dinámico, en el año 2010 el 0.23% de los usuarios sufrieron un intento de infección de esta amenaza, es decir, Zeus llegó a uno de cada 400 usuarios en el lapso de un año.
En resumen, el hecho de que su autor haya abandonado el desarrollo de la aplicación, no es garantía de que esta desaparecerá en el corto plazo y, de hecho, hay varios motivos (al menos cuatro) para concluir que Zeus, aún está entre nosotros.
Sebastián Bortnik
Coordinador de Awareness & Research
