Silent Night Zeus botnet financiero vendido en foros subterráneos


Los investigadores han revelado la existencia de una botnet basada en el troyano bancario Zeus que se vende en foros clandestinos.

El jueves, Malwarebytes y HYAS publicado un artículo (.PDF) documentando Silent Night time, una botnet relativamente nueva que se distribuye a través de Package de explotación RIG y COVID-19 spam.

El código fuente del troyano bancario Zeus se filtró en 2011. Desde entonces se han desarrollado y lanzado múltiples variantes, a menudo incluidas bajo el paraguas Terdot Zbot / Zloader.

En los últimos meses, otra variante de Zeus, conocida como Zeus Sphinx, ha estado circulando en campañas diseñadas para capitalizar el miedo a COVID-19. Esta cepa de malware se ha detectado en estafas que van desde correos electrónicos que prometen alivio financiero COVID-19 hasta ataques contra bancos.

Ver también: El malware Zeus Sphinx resucita para abusar de los temores de COVID-19

Los investigadores de ciberseguridad dijeron que el Zbot «Silent Night», quizás nombrado en referencia a un arma mencionada en la película xXx de 2002, parece haber sido desarrollado recientemente, con la versión 1. marcada en noviembre de 2019.

Al mismo tiempo, un usuario del foro de explotación ruso llamado «Axe» anunció el desarrollo de la variante, describiendo el malware como resultado de más de cinco años de trabajo. La botnet viene con un precio rígido de $ 4,000 por mes para una compilación personalizada, $ 2,000 por mes para una opción estándar, y se ofrecen extras por cientos de dólares además de estas suscripciones.

El desarrollador se ha conectado a Ax Bot 1.4.1, que comparte prefijos PHP con la última botnet.

Según Malwarebytes, Silent Evening puede obtener información de formularios en línea y realizar inyecciones internet en los navegadores Google Chrome, Mozilla Firefox e World-wide-web Explorer, siendo Edge la excepción, y el malware también es suitable en todos los sistemas operativos.

CNET: Datos personales utilizados en reclamos de desempleo de COVID-19 expuestos en violación de datos

La variante Silent Night Zeus también puede realizar el registro de teclas, capturar capturas de pantalla en un tamaño de 400×400 basado en clics del mouse, robar cookies y recolectar contraseñas de Chrome. Cuando se realizan inyecciones world-wide-web, esto se puede usar para secuestrar la sesión de un usuario y enviarla a dominios maliciosos o para obtener las credenciales necesarias para acceder a los servicios bancarios en línea.

La información robada se transfiere al servidor de comando y regulate (C2) del operador.

El desarrollador afirma que se está utilizando una forma first de ofuscación, y que el descifrado solo se realiza «a pedido». Un directorio abierto que se encuentra en una muestra de Silent Night describe cómo configurar el panel de command del malware, incluidos los requisitos mínimos de configuración de al menos 2 GB de RAM en una máquina Linux.

TechRepublic: Ciberseguridad y trabajo remoto: cómo los trabajadores manejan el turno

Los investigadores dicen que hay similitudes C2 entre Silent Night time y Terdot, pero Sphinx probablemente se basa en un «tenedor no relacionado de Zeus» debido a las grandes diferencias en la codificación.

En el momento en que se publicó el informe de Malwarebytes, los investigadores de Proofpoint también publicaron información sobre un Variante ZLoader se extendió activamente por los EE. UU., Canadá, Alemania, Polonia y Australia a través de campañas de phishing basadas en facturas y coronavirus.

Cobertura previa y relacionada


¿Tienes una propina? Póngase en contacto de forma segura a través de WhatsApp | Señal al +447713 025 499, o más en Keybase: charlie0






Enlace a la noticia original