SpyEye es el nuevo kit de creación de botnets que está recogiendo el exitoso testigo de Zeus. Se trata de un troyano bancario 2.0 que se vende en los entornos «underground» y que permite a un atacante crear
de forma muy sencilla una botnet y recopilar datos sensibles de sus víctimas. Tras el vídeo publicado anteriormente, explicamos ahora sus funciones más llamativas.
Uno de los aspectos más curiosos de SpyEye es su panel de control y los métodos para robar datos y realizar fraudes. El más llamativo sin duda es «Create task for Billings». Este ingenioso método permite hacer que los datos de tarjetas de crédito robados sean usados directamente para realizar compras automatizadas en los lugares que el atacante elige. Por ejemplo: el atacante crea un software inútil o toma cualquier programa que no sea suyo y lo aloja en alguna plataforma de pago y distribución de software. Estas plataformas se encargan de realizar las gestiones de pago a los desarrolladores que alojan en ellas sus programas. El atacante automatiza una tarea y SpyEye se encarga automáticamente de comprar ese software en las páginas indicadas, cada cierto tiempo y utilizando los datos robados de las víctimas (sus tarjetas de crédito o cuentas de PayPal). Así, el atacante recibe un beneficio directo (las personas infectadas están «comprando» su producto) y el delito es más difícil de ser rastreado.
Create Task for Loader. Esta función permite al atacante indicarle a los zombies que carguen alguna página y cuántas veces deben hacerlo. Si se configura para que los zombies visiten anuncios o banners publicitarios, el atacante obtendrá un beneficio directo. También puede ser utilizado para indicar a las víctimas que descarguen nuevo malware.
Virtest. Es un plugin del C&C de SpyEye que no se ha mostrado en el vídeo. Virtest es una página europea que permite a los usuarios registrados y previo pago, analizar un binario por varios motores antivirus (una especie de VirusTotal de pago, pero con oscuros intereses). Con este plugin el binario puede ser enviado cómodamente desde el panel de control de SpyEye.
FTP backconnect y Socks5: Tampoco mostrado en el vídeo. Permite conectarse a cualquier zombi para subir ficheros, por ejemplo o usarlo como proxy.
La opción «settings» del panel de recopilación de datos es curiosa. Permite configurar una cuenta de correo donde los datos de la base de datos serán comprimidos, enviados y borrados cada cierto tiempo. En caso de caída del C&C, el atacante podría recuperar los datos en este respaldo.
En resumen, SpyEye es muy cómodo para los atacantes. Se diferencia de Zeus fundamentalmente (obviando los apartados técnicos) en que se centra mucho más en la comodidad para aprovecharse de los datos robados. Zeus simplemente recopilaba datos, y dejaba a la imaginación del atacante cómo utilizarlos. SpyEye se preocupa de automatizar las tareas más «sucias» o sea, el empleo de los datos robados para obtener un beneficio real.
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/4407/comentar
Más información:
The SpyEye Interface, Part 1: CN 1
http://blog.trendmicro.com/the-spyeye-interface-part-1-cn-1/
The SpyEye Interface Part 2: SYN 1
http://blog.trendmicro.com/the-spyeye-interface-part-2-syn-1/
una-al-dia (16/11/2010) Vídeo: Así funciona SpyEye (I)
http://www.hispasec.com/unaaldia/4406
Sergio de los Santos
ssantos@hispasec.com
Tal día como hoy:
—————–
17/11/2009: Denegación de servicio en VirtualBox a través de «Guest Additions»
http://www.hispasec.com/unaaldia/4042
17/11/2008: Guías AMTSO para la evaluación de productos anti-malware
http://www.hispasec.com/unaaldia/3677
17/11/2007: Ejecución remota de código arbitrario en Apple Quicktime 7.2
http://www.hispasec.com/unaaldia/3311
17/11/2006: Análisis y situación de los últimos parches de Microsoft
http://www.hispasec.com/unaaldia/2946
17/11/2005: Sony abandona el rootkit anticopia
http://www.hispasec.com/unaaldia/2581
17/11/2004: Un 44% de las páginas web bancarias españolas favorecen el phishing
http://www.hispasec.com/unaaldia/2216
17/11/2003: Nuevo reto de hacking
http://www.hispasec.com/unaaldia/1849
17/11/2002: Desbordamiento de búfer en Oracle iSQL*Plus
http://www.hispasec.com/unaaldia/1484
17/11/2001: Vulnerabilidad en CDE de diversos Unix
http://www.hispasec.com/unaaldia/1119
17/11/2000: Desbordamiento de búfer en «cURL»
http://www.hispasec.com/unaaldia/754
17/11/1999: Buffer Overflow en Wordpad
http://www.hispasec.com/unaaldia/386
17/11/1998: Armagedon tecnológico
http://www.hispasec.com/unaaldia/21