Página principal
| Foro de MundoPC.NET Foros de ayuda | Mapa Web Mapa del sitio  
 | ¡Intercambio de enlaces! |
¿Qué opinas?

¿Qué sistema móvil usas?

Ver resultados

Loading ... Loading ...
Archivos

Vídeo: Así funciona SpyEye (II)


(Segunda parte) SpyEye es el nuevo kit de creación de botnets que está recogiendo el  exitoso testigo de Zeus. Se trata de un troyano bancario 2.0 que se  vende en los entornos “underground” y que permite a un atacante crear  de forma muy sencilla una botnet y recopilar datos sensibles de sus  víctimas. Tras el vídeo publicado anteriormente, explicamos ahora sus  funciones más llamativas.
* Uno de los aspectos más curiosos de SpyEye es su panel de control y  los métodos para robar datos y realizar fraudes. El más llamativo sin  duda es “Create task for Billings”. Este ingenioso método permite hacer  que los datos de tarjetas de crédito robados sean usados directamente  para realizar compras automatizadas en los lugares que el atacante  elige. Por ejemplo: el atacante crea un software inútil o toma cualquier  programa que no sea suyo y lo aloja en alguna plataforma de pago y  distribución de software. Estas plataformas se encargan de realizar  las gestiones de pago a los desarrolladores que alojan en ellas sus  programas. El atacante automatiza una tarea y SpyEye se encarga  automáticamente de comprar ese software en las páginas indicadas,  cada cierto tiempo y utilizando los datos robados de las víctimas  (sus tarjetas de crédito o cuentas de PayPal). Así, el atacante  recibe un beneficio directo (las personas infectadas están “comprando”  su producto) y el delito es más difícil de ser rastreado.

* Create Task for Loader. Esta función permite al atacante indicarle a  los zombies que carguen alguna página y cuántas veces deben hacerlo. Si  se configura para los zombis visiten anuncios o banners publicitarios,  el atacante obtendrá un beneficio directo. También puede ser utilizado  para indicar a las víctimas que descarguen nuevo malware.

* Virtest. Es un plugin del C&C de SpyEye que no se ha mostrado en  el vídeo. Virtest es una página europea que permite a los usuarios  registrados y previo pago, analizar un binario por varios motores  antivirus (una especie de VirusTotal de pago, pero con oscuros  intereses). Con este plugin el binario puede ser enviado cómodamente  desde el panel de control de SpyEye.

* FTP backconnect y Socks5: Tampoco mostrado en el vídeo. Permite  conectarse a cualquier zombi para subir ficheros, por ejemplo o usarlo  como proxy.

* La opción “settings” del panel de recopilación de datos es curiosa.  Permite configurar una cuenta de correo donde los datos de la base de  datos serán comprimidos, enviados y borrados cada cierto tiempo. En caso  de caída del C&C, el atacante podría recuperar los datos en este  respaldo.

En resumen, SpyEye es muy cómodo para los atacantes. Se diferencia de  Zeus fundamentalmente (obviando los apartados técnicos) en que se centra  mucho más en la comodidad para aprovecharse de los datos robados. Zeus  simplemente recopilaba datos, y dejaba a la imaginación del atacante  cómo utilizarlos. SpyEye se preocupa de automatizar las tareas más  “sucias” o sea, el empleo de los datos robados para obtener un beneficio  real.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/4407/comenta…

Más información:

The SpyEye Interface, Part 1: CN 1
http://blog.trendmicro.com/the-spyeye-interfa…

The SpyEye Interface Part 2: SYN 1
http://blog.trendmicro.com/the-spyeye-interfa…

una-al-dia (16/11/2010) Vídeo: Así funciona SpyEye (I)
http://www.hispasec.com/unaaldia/4406

Sergio de los Santos
ssantos[ssantos arroba hispasec.com]

Fuente: http://www.hispasec.com

Ver Parte I.

Related Posts Plugin for WordPress, Blogger...
Actualizado el 22 noviembre 2010 - 9:31

Un comentario para “Vídeo: Así funciona SpyEye (II)”

Deja un comentario

Suscríbete

Recibe nuestro boletín

Escribe tu correo electrónico

¿Tienes dudas? Haz clic aquí

Visítanos en facebook Visítanos en twitter Suscríbete a nuestro Feed

Enlaces

¿Quieres intercambiar un enlace con MundoPC.NET ?

Haz clic en el botón y averigua cómo

MundoPC.NET
Cursos