Zeus Sphinx se renueva mientras la ola de ataque de pago de alivio de coronavirus continúa


El troyano bancario Zeus Sphinx ahora recibe actualizaciones frecuentes y mejoras a su arsenal malicioso mientras se implementa en activo coronavirus estafas

El lunes, el investigador de seguridad de IBM, Nir Shwarts, dijo que la compañía ha estado siguiendo la evolución del malware que se basa en la base de código filtrada del conocido troyano Zeus v.2.

Zeus Sphinx, también conocido como Zloader o Terdot, surgió por primera vez en 2015 y fue utilizado en ataques lanzados contra bancos estadounidenses. Sin embargo, el malware desapareció de la escena felony y, con la excepción de un puñado de campañas a lo largo de los años, permaneció inactivo hasta ahora, cuando nuevamente se lo vio en ataques contra bancos, así como en una nueva campaña relacionada con COVID. -19.

En marzo, IBM documentó una ola de ataques en los que el troyano se ocultó en documentos de phishing, se difundió por correo electrónico y se ocultó como información relacionada con los pagos de ayuda de COVID-19.

Ver también: El malware Zeus Sphinx resucita para abusar de los temores de COVID-19

Estos ataques permanecen activos e intentan capitalizar los temores que rodean las ramificaciones financieras del virus, en un momento en que muchos han perdido sus medios de apoyo y dependen de la asistencia.

De acuerdo con IBM, el malware ahora se está consolidando más firmemente a través de actualizaciones constantes para mejorar su potencia.

Zeus Sphinx aterriza primero en máquinas a través de un archivo adjunto malicioso en el que se pide a las víctimas que habiliten macros. Una vez implementado, el malware agrega una clave Ejecutar al Registro de Home windows, un método muy común para mantener la persistencia que también ha sido utilizado por Zeus Sphinx desde su aparición, y se implementará como un ejecutable o como una biblioteca de enlaces dinámicos maliciosos (DLL)

El malware ha sido diseñado para obtener credenciales, como detalles bancarios o nombres de usuario y contraseñas de cuenta para servicios en línea. Zeus Sphinx utiliza técnicas de inyección del navegador para lograr este objetivo, insertando código malicioso en explorer.exe y los procesos del navegador para redirigir a las víctimas a dominios fraudulentos cuando intentan visitar sitios internet financieros.

Zeus Sphinx también creará un proceso independiente, denominado msiexec.exe para imitar un programa legítimo, en un intento de permanecer sigiloso.

CNET: Problemas de seguridad de Zoom: Zoom compra una empresa de seguridad, apunta al cifrado de extremo a extremo

En enero de 2020, las muestras de malware, incluida una ID de variante en ruso llamada «Actualización 2020», utilizaron una variada lista de dominios del servidor de comando y management (C2) y una clave RC4 para el cifrado de la comunicación botnet.

Sin embargo, las nuevas variantes del malware se han expandido para incluir un conjunto diferente de claves RC4, un conjunto más pequeño y diferente de C2 y una nueva ID de variante.

Sphinx también united states of america un generador de números pseudoaleatorios (PRNG) llamado MT19937 para crear una variación en los nombres de archivos y recursos para cada dispositivo infectado para tratar de evitar la detección mediante herramientas de escaneo estático.

TechRepublic: 5 cosas que los desarrolladores deben saber sobre la privacidad y seguridad de los datos

«Aunque es menos común en la naturaleza que troyanos como TrickBot, por ejemplo, el ADN subyacente de Zeus de Sphinx ha sido un habilitador eterno de fraude bancario en línea», dice IBM. «Las instituciones financieras deben contar con su regreso y extenderse a nuevas víctimas en medio de la pandemia true».

Trickbot también se está utilizando en señuelos con temática de coronavirus. El equipo de inteligencia de seguridad de Microsoft dijo en abril que las campañas de phishing que propagan el malware están utilizando temas que incluyen pruebas de COVID-19 y consejos médicos.

Cobertura previa y relacionada


¿Tienes una propina? Póngase en contacto de forma segura a través de WhatsApp | Señal al +447713 025 499, o más en Keybase: charlie0




Enlace a la noticia original