No es que me sorprende, pero no deja de repugnarme cómo el mundo del cibercrimen, lejos de mostrar un mínimo de empatía por la crisis del coronavirus que estamos viviendo, ha pisado el acelerador intentando sacar el máximo partido a la situación. Zeus Sphinx, un conocido troyano bancario es el último (por el momento) ejemplo de ello, ya según informa IBM en Security Intelligence, estaría siendo empleado en campañas centradas en el COVID-19, al tiempo que estaría siendo actualizado de manera frecuente estas últimas semanas.
Zeus Sphinx, también conocido como Zloader o Terdot, surgió por primera vez en 2015. En su primer avistamiento fue empleado, principalmente, en ataques contra diversas entidades bancarias de Estados Unidos. Desde entonces su presencia ha sido mínima, prácticamente residual, con solo algunas campañas puntuales a lo largo de los años… hasta ahora, cuando nuevamente ha sido identificado en varios ataques contra bancos, así como en una nueva campaña relacionada con el COVID-19. Los técnicos de IBM datan el inicio de esta reaparición en marzo de este año, cuando detectaron el patógeno oculto en documentos que simulaban ser información sobre el coronavirus.
Un aspecto importante de Zeus Sphinx es que, además, sus responsables parecen haberse «puesto las pilas», puesto que los ciclos de vida de cada versión son cada vez más cortos, y en cada actualización estaría recibiendo nuevos elementos que mejoran sustancialmente su rendimiento. Un esquema que, combinado con la complicada situación personal por la que están pasando muchísimas personas, arroja como resultado una amenaza bastante preocupante, porque es más fácil sufrir un ataque, sus acciones pueden ser más nocivos y las consecuencias, claro, mucho más devastadoras.
La llegada de Zeus Sphinx a los sistemas se produce a través de un archivo adjunto que, al ser abierto, pide al usuario que habilite las macros. Logrado este primer objetivo, añade una clave de ejecución al registro de Windows, con lo que consigue consolidarse, ya que la ejecución automática del malware garantiza su persistencia hasta que sea detectado y neutralizado. En algunas variantes el patógeno es un archivo ejecutable (exe) mientras que en otras se trata de una biblioteca de enlace dinámico (DLL). Adicionalmente, también crea un proceso independiente, denominado msiexec.exe, para con el que imposta ser una aplicación legítima.
El malware ha sido diseñado para obtener credenciales de acceso a todo tipo de servicios online, si bien el principal objetivo de los atacantes parecen ser los datos de acceso a servicios financieros. Zeus Sphinx utiliza técnicas de inyección del navegador para lograr este objetivo, insertando código malicioso en explorer.exe y los procesos del navegador para redirigir a las víctimas a dominios fraudulentos cuando intentan visitar sitios web financieros.
Fuente y redacción: muyseguridad.net