Cuando uno recibe el nombre de un antiguo dios griego, tiene una reputación que cumplir. Nadie esperaba que Zeus tuviera un efecto tan brutal en el mundo digital, cuando se detectó por primera vez en 2007. Sin embargo, en 2009 Zeus se convirtió en uno de los malwares más extendidos en Internet.
Zeus ha comprometido más de 74.000 cuentas de sitios web FTP y ha infectado más de 3,6 millones de ordenadores. Este malware infectó redes importantes como la NASA, Amazon, Cisco y Oracle. Los hackers utilizaron Zeus para robar información financiera del Bank of America y del Departamento de Transporte.
El creador original de Zeus liberó públicamente el código fuente en 2011. Esto sentó las bases para que aparecieran numerosas variantes de Zeus, convirtiéndolo en una amenaza hasta el día de hoy.
¿Qué es el troyano Zeus?
El malware troyano Zeus, también conocido como Zbot, suele utilizarse para robar datos confidenciales como la información financiera. El malware se dirige a dispositivos que utilizan el sistema operativo Microsoft Windows.
Los hackers pueden utilizar Zeus para robar cualquier información que deseen de un ordenador con Windows, e incluso para instalar el ransomware CryptoLocker. Además, los hackers pueden utilizar el código fuente para crear sus propias versiones de Zeus.
Zeus puede recopilar automáticamente contraseñas, descargar archivos, reiniciar o apagar los ordenadores y eliminar archivos del sistema. Eventualmente causando que el ordenador se bloquee.
Cómo infecta Zeus los ordenadores
Las nuevas variantes de Zeus son difíciles de detectar debido a las diferentes extensiones de los archivos, las cabeceras aleatorias y los cambios en el cifrado del malware. El malware permanece latente en el ordenador infectado hasta que se visita uno de los sitios web objetivo. Es entonces cuando el virus se activa y solicita sus datos personales. Los hackers venden entonces la información robada en el mercado negro.
El malware Zeus puede infectar los ordenadores a través de dos métodos principales: las descargas de drive-by y los mensajes de spam.
Mensajes de spam
Los mensajes de spam suelen llegar en forma de correo electrónico o de publicaciones en las redes sociales. Los mensajes spam parecen legítimos a primera vista, puede ser una invitación a un evento especial, una solicitud de amistad en Facebook o un mensaje importante de su banco.
Cuando se hace clic en un enlace del correo electrónico, se dirige automáticamente a un sitio web que instala el malware. En ocasiones, el malware puede robar sus credenciales de correo electrónico y redes sociales y enviar mensajes desde su cuenta.
Drive-By Downloads
Un drive-by download es una descarga involuntaria de software malicioso en su ordenador o dispositivo móvil. No es necesario abrir un correo electrónico malicioso ni hacer clic en nada para infectarse. El malware se instala cuando el usuario visita un sitio web malicioso o instala un programa infectado. Un drive-by download suele aprovechar sistemas obsoletos con fallos de seguridad.
Lo que el virus Zeus hace a los ordenadores
El malware Zeus puede hacer numerosas cosas a los ordenadores infectados, pero normalmente tiene dos funcionalidades principales:
- Botnets: una red de ordenadores conectados que se coordinan para realizar una tarea. Los hackers a veces explotan las botnets para ejecutar ataques de denegación de servicio distribuidos (DDoS), enviar mensajes de spam y robar información sensible.
- Servicios financieros El troyano Zeus se utiliza a menudo para robar credenciales de servicios bancarios. El malware burla la seguridad de un sitio web bancario para supervisar la actividad de los usuarios. Cuando los usuarios intentan iniciar sesión, el malware registra sus credenciales. A veces, Zeus puede incluso burlar la autenticación de dos factores.
Originalmente, el malware Zeus afectaba sólo al sistema operativo Microsoft Windows, pero las versiones más recientes infectan también los dispositivos móviles Android y BlackBerry.
Cómo prevenir el malware Zeus
Un poco de precaución puede ayudar a evitar que el malware Zeus infecte su ordenador. Esto es lo que puede hacer para proteger sus dispositivos:
- Prácticas seguras en Internet: la navegación segura es el primer paso para prevenir la infección de Zeus. Esto incluye mantenerse alejado de los sitios web potencialmente peligrosos que ofrecen descargas ilegales de software gratuito. Los propietarios de estos sitios web no suelen tener ningún problema en alojar malware en ellos. También debe evitar hacer clic en enlaces de correo electrónico y redes sociales a menos que espere estos mensajes. Aunque el mensaje provenga de una fuente legítima, puede estar afectado por el malware Zeus.
- Actualice su antivirus: puede esperar que aparezcan nuevas versiones de Zeus cada pocos años, ya que el código fuente está disponible públicamente. Sólo los antivirus que se actualizan constantemente con las nuevas amenazas pueden protegerle realmente del malware Zeus.
- Refuerce la autenticación: los ataques de malware suelen ser el resultado de credenciales débiles. La autenticación multifactorial (MFA) puede evitar el acceso no autorizado a las aplicaciones. Asegúrese de que todas sus aplicaciones, incluidos los servicios de terceros, admiten MFA.
- Utilice herramientas de detección y respuesta de puntos finales (EDR): las herramientas EDR evitan que se ejecuten archivos sospechosos en los dispositivos de los puntos finales, mediante la supervisión de los registros y paquetes de los puntos finales. La supervisión continua de los puntos finales ayuda a los equipos de seguridad a responder a los ataques de malware en tiempo real.
- Formación: lleve a cabo una formación periódica sobre ciberseguridad en su organización. Eduque a los empleados sobre los fundamentos de las buenas prácticas de seguridad, como validar las direcciones de correo electrónico desconocidas, evitar hacer clic en enlaces de fuentes desconocidas y alertar al servicio de asistencia sobre cualquier actividad sospechosa.
Ataques famosos de Zeus
Hay miles de variantes de Zeus por ahí. La familia de malware Zeus incluye troyanos como Gameover, SpyEye, Atmos, Floki y muchos más.
Gameover ZeuS
El malware Gameover fue creado por un hacker ruso de nombre Evgeniy Bogachev. Gameover Zeus utiliza una comunicación peer-to-peer cifrada para transmitir información entre sus nodos y el servidor de control. El virus establece la conexión con el servidor en cuanto el archivo malicioso se instala en un ordenador. Tras su instalación, el malware puede desactivar ciertos procesos del sistema, descargar y lanzar otros virus, o incluso eliminar archivos esenciales del sistema.
Zeus Panda
En 2016, el malware Zeus Panda se dirigió a servicios de banca online, programas de fidelización de aerolíneas, cuentas de apuestas online en Europa y Norteamérica. Ese mismo año, Zeus Panda también tuvo como objetivo bancos brasileños y otros servicios online. El malware tenía como objetivo los sitios web de las fuerzas de seguridad brasileñas, los proveedores de seguridad de la red y los sitios web de comercio electrónico.
Floki Bot
Floki Bot recibe su nombre de un hacker brasileño conocido como «flokibot». El único propósito de Floki es la ganancia financiera. Los hackers que ejecutan los ataques de Floki Bot eligen a sus víctimas muy metódicamente, por lo que el malware Floki es mucho más efectivo que el Zeus original. Además, a diferencia de Zeus, Floki Bot puede atacar sistemas de punto de venta (TPV), abriendo así vías totalmente nuevas para el acaparamiento de dinero.
Conclusión
El malware Zeus ha infectado millones de ordenadores en todo el mundo en un periodo de tiempo relativamente corto. El código fuente sigue estando disponible en línea y la comunidad de hackers habla, actualiza y mejora constantemente el malware. Como resultado, Zeus seguirá siendo una amenaza en los próximos años, aunque el creador original ya no esté en activo. Las organizaciones deben entender que el virus Zeus sigue ahí fuera y tomar medidas para proteger sus finanzas e información sensible.