Así funciona SpyEye (2da ultima parte)
pyEye es el nuevo kit de creación de botnets que está recogiendo el
exitoso testigo de Zeus. Se trata de un troyano bancario 2.0 que se
vende en los entornos "underground" y que permite a un atacante crear
de forma muy sencilla una botnet y recopilar datos sensibles de sus
víctimas. Tras el vídeo publicado anteriormente, explicamos ahora sus
funciones más llamativas.
* Uno de los aspectos más curiosos de SpyEye es su panel de control y
los métodos para robar datos y realizar fraudes. El más llamativo sin
duda es "Create task for Billings". Este ingenioso método permite hacer
que los datos de tarjetas de crédito robados sean usados directamente
para realizar compras automatizadas en los lugares que el atacante
elige. Por ejemplo: el atacante crea un software inútil o toma cualquier
programa que no sea suyo y lo aloja en alguna plataforma de pago y
distribución de software. Estas plataformas se encargan de realizar
las gestiones de pago a los desarrolladores que alojan en ellas sus
programas. El atacante automatiza una tarea y SpyEye se encarga
automáticamente de comprar ese software en las páginas indicadas,
cada cierto tiempo y utilizando los datos robados de las víctimas
(sus tarjetas de crédito o cuentas de PayPal). Así, el atacante
recibe un beneficio directo (las personas infectadas están "comprando"
su producto) y el delito es más difícil de ser rastreado.
* Create Task for Loader. Esta función permite al atacante indicarle a
los zombies que carguen alguna página y cuántas veces deben hacerlo. Si
se configura para los zombis visiten anuncios o banners publicitarios,
el atacante obtendrá un beneficio directo. También puede ser utilizado
para indicar a las víctimas que descarguen nuevo malware.
* Virtest. Es un plugin del C&C de SpyEye que no se ha mostrado en
el vídeo. Virtest es una página europea que permite a los usuarios
registrados y previo pago, analizar un binario por varios motores
antivirus (una especie de VirusTotal de pago, pero con oscuros
intereses). Con este plugin el binario puede ser enviado cómodamente
desde el panel de control de SpyEye.
* FTP backconnect y Socks5: Tampoco mostrado en el vídeo. Permite
conectarse a cualquier zombi para subir ficheros, por ejemplo o usarlo
como proxy.
* La opción "settings" del panel de recopilación de datos es curiosa.
Permite configurar una cuenta de correo donde los datos de la base de
datos serán comprimidos, enviados y borrados cada cierto tiempo. En caso
de caída del C&C, el atacante podría recuperar los datos en este
respaldo.
En resumen, SpyEye es muy cómodo para los atacantes. Se diferencia de
Zeus fundamentalmente (obviando los apartados técnicos) en que se centra
mucho más en la comodidad para aprovecharse de los datos robados. Zeus
simplemente recopilaba datos, y dejaba a la imaginación del atacante
cómo utilizarlos. SpyEye se preocupa de automatizar las tareas más
"sucias" o sea, el empleo de los datos robados para obtener un beneficio
real.
fuente: http://blog.trendmicro.com/the-spyeye-interface-part-2-syn-1/
exitoso testigo de Zeus. Se trata de un troyano bancario 2.0 que se
vende en los entornos "underground" y que permite a un atacante crear
de forma muy sencilla una botnet y recopilar datos sensibles de sus
víctimas. Tras el vídeo publicado anteriormente, explicamos ahora sus
funciones más llamativas.
* Uno de los aspectos más curiosos de SpyEye es su panel de control y
los métodos para robar datos y realizar fraudes. El más llamativo sin
duda es "Create task for Billings". Este ingenioso método permite hacer
que los datos de tarjetas de crédito robados sean usados directamente
para realizar compras automatizadas en los lugares que el atacante
elige. Por ejemplo: el atacante crea un software inútil o toma cualquier
programa que no sea suyo y lo aloja en alguna plataforma de pago y
distribución de software. Estas plataformas se encargan de realizar
las gestiones de pago a los desarrolladores que alojan en ellas sus
programas. El atacante automatiza una tarea y SpyEye se encarga
automáticamente de comprar ese software en las páginas indicadas,
cada cierto tiempo y utilizando los datos robados de las víctimas
(sus tarjetas de crédito o cuentas de PayPal). Así, el atacante
recibe un beneficio directo (las personas infectadas están "comprando"
su producto) y el delito es más difícil de ser rastreado.
* Create Task for Loader. Esta función permite al atacante indicarle a
los zombies que carguen alguna página y cuántas veces deben hacerlo. Si
se configura para los zombis visiten anuncios o banners publicitarios,
el atacante obtendrá un beneficio directo. También puede ser utilizado
para indicar a las víctimas que descarguen nuevo malware.
* Virtest. Es un plugin del C&C de SpyEye que no se ha mostrado en
el vídeo. Virtest es una página europea que permite a los usuarios
registrados y previo pago, analizar un binario por varios motores
antivirus (una especie de VirusTotal de pago, pero con oscuros
intereses). Con este plugin el binario puede ser enviado cómodamente
desde el panel de control de SpyEye.
* FTP backconnect y Socks5: Tampoco mostrado en el vídeo. Permite
conectarse a cualquier zombi para subir ficheros, por ejemplo o usarlo
como proxy.
* La opción "settings" del panel de recopilación de datos es curiosa.
Permite configurar una cuenta de correo donde los datos de la base de
datos serán comprimidos, enviados y borrados cada cierto tiempo. En caso
de caída del C&C, el atacante podría recuperar los datos en este
respaldo.
En resumen, SpyEye es muy cómodo para los atacantes. Se diferencia de
Zeus fundamentalmente (obviando los apartados técnicos) en que se centra
mucho más en la comodidad para aprovecharse de los datos robados. Zeus
simplemente recopilaba datos, y dejaba a la imaginación del atacante
cómo utilizarlos. SpyEye se preocupa de automatizar las tareas más
"sucias" o sea, el empleo de los datos robados para obtener un beneficio
real.
fuente: http://blog.trendmicro.com/the-spyeye-interface-part-2-syn-1/
Comentarios
Publicar un comentario
siempre es bueno, leer tus comentarios