El troyano bancario Zeus Sphinx ha regresado de la muerte justo a tiempo para la pandemia

Zeus Sphinx ha vuelto oficialmente. También conocido como Terdot, el troyano bancario ganó infamia hace unos años cuando sus operadores utilizaron métodos inteligentes de distribución para difundir el malware y robar las contraseñas de las personas. En aquel entonces, los investigadores de seguridad explicaron cómo, además de extraer datos de inicio de sesión para las instituciones financieras, los operadores de malware intentaban secuestrar las cuentas de las redes sociales de las víctimas y usarlas como vehículo de propagación. En un momento, sin embargo, de repente dejaron de distribuirlo. Ahora, han vuelto a él, y cuando ves cómo funciona, es posible que te preguntes por qué lo abandonaron en primer lugar.

Zeus Sphinx no necesitaba una actualización importante

La nueva ola de infecciones por Zeus Sphinx fue descubierta por investigadores de IBM. Las primeras señales de un regreso se mostraron en diciembre, pero en marzo, el número de víctimas aumentó significativamente. Los expertos de IBM analizaron una de las muestras interceptadas y notaron que no había actualizaciones realmente importantes sobre la forma en que funciona el malware.

La campaña actual se basa en documentos maliciosos de Microsoft Office que sirven como descargadores para la carga útil. El archivo contiene instrucciones macro, que crean una nueva carpeta en la unidad del sistema de la PC y sueltan un archivo por lotes. Se crea un nuevo archivo VBS que utiliza el proceso WScript.exe para establecer una conexión con el servidor de Comando y Control (C&C) y descargar la carga útil en forma de una DLL. Una vez implementado, Zeus Sphinx agrega una nueva clave de registro para establecer la persistencia y establece el robo de datos financieros de las personas.

Como su nombre indica, Zeus Sphinx se basa en Zeus, una de las familias de malware más infames de este tipo. El troyano roba nombres de usuario y contraseñas con la ayuda de inyecciones web. Cada vez que detecta que el usuario está visitando el sitio web de su banco, Zeus Sphinx inyecta código y envía las credenciales de inicio de sesión y los códigos de autenticación de dos factores a los delincuentes. Lo peor de esta técnica es que el usuario no tiene forma de saber que algo está mal. Pero, ¿qué tan probable es que infecten sus sistemas con Zeus Sphinx en primer lugar?

Zeus Sphinx usa la pandemia COVID-19 para llegar a más personas

Como probablemente ya sepa, en los últimos meses, los ciberdelincuentes han estado utilizando diversas técnicas de ingeniería social para explotar el miedo que rodea la actual pandemia de coronavirus, y las personas que distribuyen Zeus Sphinx han decidido adoptar un enfoque similar.

Los documentos maliciosos de Office llegan al reverso de los correos electrónicos con temas que leen "Pago COVID-19", y en el ejemplo que nos mostró IBM, el mensaje dice que Justin Trudeau, Primer Ministro de Canadá, aprobó un premio de $ 2,500 para todos y cada uno de sus colegas canadienses que decidieron quedarse en casa durante la pandemia de coronavirus. Para reclamarlo, el usuario debe abrir el documento adjunto y completarlo.

Realmente no debería ser una sorpresa que, como tantas otras pandillas cibercriminales, los operadores de Zeus Sphinx estén tratando de aprovechar el pánico que rodea a COVID-19. Sin embargo, lo que es un poco impactante es que todavía hay personas que podrían caer en esta estafa en particular.

Incluso si está convencido de que puede evitar este esquema, hay muchos otros que son mucho más creíbles. Asegúrate de llevar todo lo que encuentres en tu bandeja de entrada con una pizca de sal, especialmente si fue enviado por alguien que no conoces.