La obra maestra de los hackers - el virus Zeus se introduce entre los resultados de búsqueda del navegador

Zeus vuelve en forma de troyano bancario

Los ciber villanos no cesan a la hora de encontrar nuevas y exquisitas técnicas para engañar y colocar trampas a los usuarios. Parece que las estrategias ordinarias de mala publicidad y el uso de exploit kits ya no les satisface del todo. La codicia por el dinero inspira a los ladrones a desarrollar más y más técnicas para hacer penetrar sus malwares en los sistemas. Y la más reciente merece incluso un aplauso.

Los criminales han inyectado cuidadosamente específicas claves en sitios legítimos y hackeados. Muy probablemente las usen para mejorar el tráfico de Google SERP (Search Engine Results Pages), aumentando así el ránking y la posición de sus sitios. Cuando los usuarios entran en uno de ellos en tu navegador, se arriesgan a ser redirigidos al embarazoso troyano bancario Zeus Panda. Aquí hay un par de claves:

• «axis bank mobile banking download link»
• «bank of baroda account balance check»
• «bank guarantee format mt760″»how many digits in karur vysya bank account number»
• «free online books for bank clerk exam»
• «how to cancel a cheque commonwealth bank»
• «nordea sweden bank account number»
• «sbi bank recurring deposit form»

Estas búsquedas sugieren un gran rango de la campaña del virus, específicamente, de la campaña del troyano bancario. Éste se centra en usuarios suecos, indios, así como también en usuarios de los países de regiones árabes. Algunas de las claves (relacionadas con las búsquedas) son muy universales y solo hacen de la campaña algo más amenazante.

Ejecutándose a través de macros

Cuando los usuarios escriben entre sus resultados de búsqueda, son dirigidos a una serie de páginas redirigidas, y es entonces cuando pueden acabar en un sitio con un código JavaScript escondido que puede descargar el virus en un archivo corrupto .doc.

En este momento, el virus Zeus opera de manera similar a un ransomware. Si las macros de Microsoft Word están deshabilitadas por defecto, el documento requiere habilitarlas para que el usuario pueda visualizar el contenido. Si están habilitadas, el ejecutable del malware bajo el nombre de obodok.exe se descargará y se colocará en la carpeta %Temp%.

Apariencia engañosa y auto-destrucción

El malware está bien programado e incluso tiene cierta «inmunidad» a la detección. Éste comprueba los ambientes más populares de sandboxing. En caso de que localice cualquiera de las apps incluida, se auto-destruye y deja un archivo. El archivo en la carpeta %Temp% se elimina también. Luego, el malware continua ejerciendo la vigilancia y destruyendo su archivo principal.

Además, el malware parece contener ciertas exclusiones. En caso de que corrompa un sistema y detecte que es ruso, ucraniano, kazak, o bielorruso, el malware se elimina a sí mismo.

Medios de escapar del malware

Con suerte, de acuerdo con LosVirus.es, esta nueva versión del virus Zeus ya es detectable por la mayoría de utilidades anti-virus. Por el momento, actualizar tu programa de seguridad es el único modo de reducir el riesgo de encontrarte con esta amenaza virtual. Los usuarios deben tener también mucho cuidado cuando hagan click o descarguen desde Internet. Los usuarios de móviles, especialmente de Android, deberían instalar un par de herramientas diferentes de prevención y eliminación de malware, ya que son altamente vulnerables a ataques de troyanos bancarios.