logo
 /
CHW 02/04/2010

La guerra de los kits de malware

No hay honor entre ladrones

[metroimage ids=”38-128280″ imagesize=”large”]

Hace un par de días, entró un increíble bicharraco en mi PC. El pobre Avira no lo detectó hasta que fue muy tarde  y mi equipo se empezó a portar de forma extraña (con decirles que se me instaló -sola- una extensión maldita en Firefox que al buscar información sobre ella, el primer link de Google me llevó a un sitio donde ofrecían limpiar mi PC infectado por un puñado de dolares). Cuento corto, ni el Spybot, ni limpieza en modo a prueba de fallos, ni CD de recuperación lograron sanar a mi -hasta entonces como por 3 años sin bichos- Windows XP y tuve que aplicar Format C: (instalé Win7 por un tiempo pero esa es otra historia).

No me considero experto pero tampoco soy un novato en este mundo de Internet y sus virus, así que mientras maldecía y esperaba que los scans terminaran me preguntaba como rayos había logrado entrar un bicho al PC (omitan acá que que más esperaba si uso Windows, LOL). Lo que les voy a contar ahora explica en parte lo que me pasó.

Resulta que existen verdaderas mafias que venden kits de malware a gente con propósitos poco santos. Uno de los más populares es ZeuS (que cuesta alrededor de USD$4.000). La última versión es mucho más cara y según Secureworks soporta extensiones (pagadas) que ofrecen entre otras cosas:

  • Compatibilidad con Windows7/Vista (USD$2,000)
  • Backconnect (permite reconectarse al PC de la victima y hacer transacciones bancarias desde ese PC, por USD$1,500)
  • Firefox form grabbing (copia cualquier información introducida a un formulario en Firefox, por ejemplo nicks y passwords, por USD$2,000)
  • Notificación Jabber (mensaje instantáneo, por USD$500)
  • Etc.

Sin embargo, le salió gente al camino a ZeuS. Desde Rusia con Amor apareció en el mercado underground SpyEye, con precios más accesibles que los ofrecidos por el malware ya mencionado y con la curiosa habilidad de poder eliminar a ZeuS de un equipo infectado, según cuenta la gente de Symantec:

[metroimage ids=”38-128281″ imagesize=”large”]

¿Qué dice Padrino? ¿Lo eliminamos?.

Así es, en una especie de guerra de mafiosos del ciberespacio, si el malware creado con SpyEye encuentra un computador infectado con ZeuS, detendrá o eliminará esta infección…  para luego reclamar para si este “territorio”.

Además de lo anterior, el autor de SpyEye promete que su próxima versión esta “herramienta” será capaz de inyectar contenido a Firefox e Internet Explorer -algo que era también territorio de ZeuS- . Inyectar permite a malandrines derrotar ciertas capas de seguridad que los bancos agregan a sus páginas. En un demo, se creó un malware que tenia por misión insertar banners en la página de un banco. Juzguen Uds. los resultados:

[metroimage ids=”38-128282″ imagesize=”large”]

Con tantas muestras de falta de respeto, y con la posibilidad de que por los precios ofrecidos emigren clientes, esto es una guerra declarada entre ZeuS y SpyEye. Por mí, que se agarren a balazos entre ellos mientras estoy de luto por la información perdida por el formateo que me vi obligado a hacer.

Link: SpyEye vs. ZeuS Rivalry (Krebs on Security)