La herramienta de creación de malware ZeusVM puede provocar un aumento de botnet

Internet podría ver una nueva ola de botnets basada en el troyano bancario ZeusVM después de que las herramientas necesarias para construir y personalizar el programa de malware fueran publicadas en línea gratis.

El código fuente para el constructor y el panel de control de ZeusVM versión 2.0 .0.0 se filtró en algún momento de junio, según un equipo de investigación de malware llamado Malware Must Die (MMD). Los investigadores ocultaron la filtración mientras trataban de evitar que los archivos se volvieran ampliamente disponibles, un esfuerzo que finalmente excedió sus recursos.

Como resultado, el grupo decidió hacer pública la información el domingo para alertar toda la comunidad de seguridad para que se puedan desarrollar estrategias de mitigación.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

ZeusVM, también conocido como KINS, es un troyano de computadora que secuestra el proceso del navegador para modificar o robar información de los sitios web abiertos por las víctimas en sus computadoras. Se utiliza principalmente para robar credenciales de banca en línea, pero otros tipos de sitios web también pueden ser atacados siempre que los atacantes los incluyan en el archivo de configuración que el troyano descargó de Internet.

Como su nombre lo indica, ZeusVM se basa en el infame Zeus Trojan, cuyo propio código fuente se filtró en 2011 después de años de ser la principal herramienta de malware utilizada para el fraude bancario en línea.

Parece que la nueva fuga de ZeusVM no contiene el código fuente del troyano real que podría permitir otro malware escritores para crear variantes más potentes. Sin embargo, el constructor y el panel de control son todo lo que los atacantes necesitan para iniciar su propia botnet ZeusVM versión 2, de forma gratuita.

El constructor es un programa que permite a los atacantes crear archivos binarios ZeusVM personalizados que luego pueden usarse para infectar computadoras . La personalización implica modificar cosas como la URL del servidor de comando y control donde se conectará el troyano o la clave utilizada para cifrar sus archivos de configuración.

El panel de control es la aplicación web que se ejecuta con el comando y control servidor y se utiliza para recibir y enviar datos a computadoras infectadas con ZeusVM. Es necesario administrar la botnet.

No está claro quién o por qué filtraron las dos herramientas ZeusVM, pero los investigadores de MMD descubrieron recientemente ofertas de venta de una nueva versión de KINS-versión 3.0-en foros subterráneos por $ 5,000.

Así que, además de un aumento de las nuevas botnets ZeusVM v2, la comunidad de seguridad también debería esperar ataques pronto con una nueva versión del troyano, dijeron los investigadores de MMD en su informe.