La mensajería instantánea acelera el peligro de robo de datos

Uno de los malware más sofisticados en circulación recibió una actualización que permite que los ciberdelincuentes actúen aún más rápido después de haber robado datos de una PC.

Según la compañía de seguridad RSA, el Zeus El troyano, al que se culpa de permitir innumerables robos de cuentas bancarias en línea, ahora usa un componente de mensajería instantánea que alerta a los piratas informáticos de inmediato cuando han capturado las credenciales de autenticación de alguien. Eso puede permitir el uso rápido de información sensible al tiempo, como las contraseñas de un solo uso que se emplean a menudo en la banca en línea.

Zeus no es la primera pieza de malware que emplea mensajería instantánea, señala RSA en su Informe de fraude en línea de agosto. Se descubrió que otro programa para robar contraseñas llamado Sinowal también lo estaba usando en 2008.

[Más información: cómo eliminar el malware de su PC con Windows]

Una vez en una PC, Zeus envía inicios de sesión y contraseñas a un servidor remoto, al que el hacker debe acceder y clasificar. RSA descubrió que varias variantes de Zeus tienen un módulo de mensajería instantánea Jabber. El proyecto Jabber, así como otros servicios como la función de chat de Google Gmail, emplean XMPP (Protocolo de presencia y mensajería extensible), un estándar abierto para mensajería instantánea.

Los piratas informáticos configuraron dos cuentas Jabber, una para enviar información y una para recibir. Cuando Zeus obtiene el inicio de sesión, lo envía a un servidor remoto. Luego, el módulo Jabber busca credenciales para instituciones financieras específicas y luego transmite la información al hacker mediante mensaje instantáneo, dijo RSA.

La empresa de seguridad Damballa estimó el mes pasado la cantidad de computadoras infectadas en EE. UU. Solo con Zeus. alrededor de 3.6 millones de computadoras, lo que lo convierte en uno de los programas de software malicioso más prevalentes y en una botnet muy grande.

Los usuarios pueden infectarse si no han instalado los últimos parches de seguridad en sus computadoras y visitan un sitio web diseñado para busque automáticamente vulnerabilidades de software y luego entregue el malware. Zeus también puede instalarse inadvertidamente en una computadora si se engaña a una persona para que abra un archivo adjunto de correo electrónico que contenga Zeus.

Zeus, que se cree que es el producto de un pirata informático ruso con el nombre AZ, se vende en foros subterráneos para ciberdelincuentes en ciernes, de acuerdo con otra compañía de seguridad, Secureworks. Se puede personalizar de acuerdo a las necesidades de los compradores. Por ejemplo, Zeus puede codificarse para que solo registre los detalles de inicio de sesión de una determinada lista específica de sitios web.

"La facilidad de uso del kit de herramientas Zeus crimeware para que las personas creen sus propios botnets troyanos a medida ha significado que se ha convertido en una herramienta favorita para los delincuentes de nivel inicial para involucrarse en la economía sumergida ", según Peter Coogan de Symantec, escribiendo en uno de los blogs de la compañía. "La mayor disponibilidad de este kit de herramientas en foros subterráneos últimamente también ha llevado a un aumento en su uso."

Zeus ha estado en el radar de los profesionales de seguridad por un tiempo, y un grupo ejecuta un sitio web que rastrea Zeus infecciones y los servidores de comando y control, que pueden dar instrucciones a las PC infectadas.

ZeuS Tracker ahora cuenta con 802 hosts maliciosos con Zeus. La organización también publica una lista de bloqueo que los administradores pueden usar para garantizar que las personas en su red no accedan a dominios peligrosos relacionados con Zeus.