El malware Zeus Sphinx resucita para abusar de los temores de COVID-19


Después de años de estar latente, la cepa de malware Zeus Sphinx ha resucitado para capitalizar el pandemia de coronavirus en una nueva ola de estafas.

Los correos electrónicos no deseados que afirman guardar el secreto de las nuevas curas de coronavirus, los mensajes de texto y las llamadas telefónicas de los operadores que fingen ser empresas de servicios públicos y bancos afectados por la enfermedad respiratoria, y los productos falsos que previenen el coronavirus se enumeran en los mercados en línea en respuesta al brote, de los cuales los números de casos han llegado a 723,000 al momento de escribir.

Cualquier disaster que pueda beneficiarse aumenta el interés de los ciberatacantes y los estafadores, y ahora, el malware que ha estado ausente del panorama de amenazas durante casi tres años, una vez más, ha comenzado a circular.

El lunes, IBM X-Pressure dijo que Zeus Sphinx , también conocido como Zloader o Terdot, se ha visto en campañas lanzadas en marzo que se centran en los pagos de ayuda del gobierno.

Ver también: La policía del Reino Unido critica por usar drones para avergonzar públicamente a los caminantes en el bloqueo de coronavirus

Zeus Sphinx se detectó por primera vez en la naturaleza en agosto de 2015. El malware surgió como un troyano bancario modular comercial con elementos de código central basados ​​en Zeus v2. El malware se dirigió a instituciones financieras en todo el Reino Unido, Australia, Brasil y los Estados Unidos y ahora, Zeus Sphinx ha resurgido con un enfoque en los mismos países a través de una nueva campaña temática de coronavirus.

Los investigadores dijeron que Zeus Sphinx se está propagando a través de campañas de phishing cargadas con archivos maliciosos llamados «alivio COVID 19». Los correos electrónicos afirman que se debe completar un formulario para recibir fondos para vincular a las personas que ahora tienen que quedarse en casa en lugar de trabajar durante el brote.

El formulario adjunto, principalmente formatos de archivo .DOC o .DOCX, utiliza una técnica típica para afianzarse en un sistema. Si se descarga y se abre, el documento solicita que un usuario habilite macros, lo que a su vez activa la carga útil de Zeus Sphinx a través de procesos secuestrados de Windows y un servidor de comando y regulate (C2) conectado que aloja el malware.

CNET: Ahora que todos usan Zoom, aquí hay algunos riesgos de privacidad que debe tener en cuenta

Una vez instalado en una máquina comprometida, Zeus Sphinx mantiene la persistencia al escribir dinámicamente en numerosos archivos y carpetas, así como al crear claves de registro. El malware también intenta evitar la detección como software program malicioso mediante el uso de un certificado autofirmado.

Las inyecciones web son la especialidad del malware y, en algunos casos, todavía se basan en la base de código Zeus v2. Zeus Sphinx aplicará parches a explorer.exe y a los procesos del navegador, incluidos los utilizados por Google Chrome y Mozilla Firefox, para obtener inyecciones cuando un usuario visita una página de destino, como una plataforma de banca en línea. Luego, el código modifica estas páginas para engañarlas para que entreguen los detalles de autenticación, que luego se cosechan y se envían al C2 del malware.

TechRepublic: Los ciberdelincuentes atacan el impulso de calzado Eager para las personas afectadas por la pandemia de coronavirus

Sin embargo, Zeus Sphinx contiene un defecto inherente, en el que no hay ningún proceso para volver a buscar los navegadores. Por lo tanto, si un navegador empuja una actualización, IBM dice que la función de inyección web es «poco probable que sobreviva».

La campaña está en curso, y solo una de muchas.

Miles de dominios maliciosos con el tema COVID-19 han aparecido en las últimas semanas, y en algunos casos, los ciberatacantes están utilizando métodos interesantes para engañar a las víctimas para que visiten estos sitios website. Los investigadores de Bitdefender descubrieron recientemente que los enrutadores D-Website link y Linksys están siendo comprometidos y su configuración de DNS está siendo cambiada para dirigir a las víctimas hacia sitios net basados ​​en coronavirus que sirven malware.

Cobertura previa y relacionada


¿Tienes una propina? Póngase en contacto de forma segura a través de WhatsApp | Señal en +447713 025 499, o más en Keybase: charlie0




Enlace a la noticia authentic