1

El making of de un cibercrimen (Segunda parte)

_CIPOL

Veo, veo… algo de competencia

Tomó tres años para “colocar” en el mercado una nueva versión de la botnet ZeuS. En 2009 ZeuS, versión 2, apareció añadiendo una gran cantidad de nuevas funcionalidades al producto. ZeuS v2 era más robusto, capaz de manejar mejor las tomas de downs, e incluyó nuevas características como la capacidad de controlar el tráfico de red, capturar pantallas, grabar las pulsaciones de teclado de la víctima, robar certificados, e incluso conectarse a otros sistemas utilizando la dirección IP de la víctima . Nuevas versiones señalaban el éxito: Un negocio había nacido.Principio del formularioFinal del formulario

Al igual que con la mayoría de las empresas, la exposición y el reconocimiento del éxito produjo espuelas a la introducción de nuevas ofertas por parte de uno o más competidores. El negocio de la ciberdelincuencia no es ni legal ni moral, y esto es lo único que lo hace diferente de un negocio legítimo…

Así, mientras Slavik creó y estableció este nuevo mercado de fraude bancario basado en bot, en algún momento, por lo menos un competidor saldría al mercado. Y así fue y todo por $ 8 millones.

El primer producto de la competencia, SpyEye, fue escrito por alguien que usa los alias de Gribodemon y Harderman. Si bien las primeras versiones de este malware eran muy malas o deficientes, ya que a menudo no lograban correr. Esto fue la gran barrera, en comparación con el kit de malware ZeuS. 

Con una agresiva política de precios, el mercado puso su atención en SpyEye. Los ingresos generados por SpyEye fueron aparentemente reinvertidos por Gribodemon en mejorar rápidamente el software, y el producto de la competencia pronto comenzó a ganar cuotas de mercado, incluso después Gribodemon descubrió que podía aumentar con éxito el precio de su kit de 400 dólares a un millón.

Como su punto de apoyo solidificó, y el software SpyEye se hizo más “profesional”, su autor comenzó a ser extremadamente agresivo en otras áreas del negocio. Gribodemon fue directamente a tratar de dominar el mercado de ZeuS, lo que produjo una feroz batalla se produjo.

El objetivo de Gribodemon era, no sólo simplemente ganar nuevos clientes, también quería conquistar a los clientes existentes de ZeuS. Construyó su kit de malware SpyEye de tal manera que, tras la inyección de éxito de la red de bots en el navegador de acogida, haría la verificación de la existencia de la botnet ZeuS y lo eliminaría, teniendo entonces en su poder, el  sistema y todas las cuentas bancarias previamente comprometidas por ZeuS.

En forma de negocio real, Slavik respondió del mismo modo con cambios a su kit de Zeus. Otro ejemplo de una táctica de negocio tradicional aplicado por SpyEye fue el de una migración competitiva.

Gribodemon entregó una característica en SpyEye llama “Spy Config”, que extrae la configuración definida en el kit de malware ZeuS, los carga en la configuración de SpyEye, y proporciona documentación adicional sobre cómo aprovechar las configuraciones de Zeus.

Con la asignación de la configuración y la educación completa, los usuarios de SpyEye sabrían cómo seguir el inyector ZeuS; también tendrían una visión clara de lo que era ZeuS y qué hacer con el sistema, las conexiones y las cuentas. Casi todo el mundo interesado en el kit de SpyEye sabía leer las configuraciones de malware ZeuS. Esta característica hace que sea extremadamente fácil para los clientes cambiar desde el kit de malware ZeuS al kit de malware SpyEye.

Precaución: Los carriles se fusionan

Al no haber visto ninguna actualización , el mercado encontró el kit de malware ZeuS en octubre de 2010. En los foros underground, surgieron anuncios de ambos competidores, Slavik y Gribodemon, alegando que un mayor desarrollo de ZeuS y SpyEye cesaría, y que el negocio de ZeuS Slavik iba a ser entregado y se fusionaba con los negocios de SpyEye Gribodemon. Esto, como  pueden imaginar, convirtió el mercado en un frenesí.

Y aunque la fusión  realmente nunca se materializó, por lo menos de una manera sustancial, oficial, es seguro decir que la SEC ciertamente no se dio por enterada.

Gracias por el caballo regalado

Resulta que Slavik había estado trabajando en una nueva versión de ZeuS todo el tiempo, una versión que equivaldría a un v2.1 ZeuS. Esta nueva versión, sin embargo, nunca fue vendida por Slavik como un kit. Tampoco fue  entregada a Gribodemon.

¿Cómo hizo la transición del código fuente para v2.1? Slavik redefine el mercado, convirtiendo su software de licencia perpetua y modelo de negocio en uno basado en suscripción, emitido a través de la nube.V2.1 ZeuS, que se convirtió v3 en septiembre de 2011, se convirtió en el primer malware de banca en línea de la industria en ofrecerse como un “como un servicio (Malware as a service)”.

La codicia a través de la línea de meta

En 2012, un nuevo troyano apareció en la escena. Trusteer analizó el componente cargador del troyano y se encontró que era muy similar al componente loader contenido dentro de Silon. Después de la de S viene la T este nuevo troyano se conocía como Tilón.

En el otoño de 2013, Fox-IT tuvo acceso al código fuente de la infraestructura de Tilón. Después de un análisis más profundo del troyano y su infraestructura de apoyo, resulta que el componente loader era la única pieza que se deriva de Silon.

El núcleo de la solución Tilón en realidad es un reacomodo, la versión más desarrollada de SpyEye, una versión de SpyEye 2 ofrece ahora un servicio gestionado.

Adolfo Manaure

Entusiasta seguidor de la tecnología y las innovaciones que cambian el mundo. Director Editorial y COO en The HAP Group.