Zeus Sphinx: qué es, cómo funciona y cómo prevenirlo

Para aquellos que investigan software malicioso, es posible que pronto deseen cambiar “phoenix” por “Zeus Sphinx”. Este malware solía ser una amenaza persistente para los bancos y las instituciones financieras en 2015 y aparentemente se extinguió.  A diciembre de 2019 (y especialmente después de la pandemia de COVID-19), Zeus Sphinx ha experimentado un marcado resurgimiento y se […]

Para aquellos que investigan software malicioso, es posible que pronto deseen cambiar “phoenix” por “Zeus Sphinx”. Este malware solía ser una amenaza persistente para los bancos y las instituciones financieras en 2015 y aparentemente se extinguió. 

A diciembre de 2019 (y especialmente después de la pandemia de COVID-19), Zeus Sphinx ha experimentado un marcado resurgimiento y se ha observado que se aprovecha de la pandemia para difundir su malicia.

Este artículo detallará el malware Zeus Sphinx con respecto a su reciente
resurgimiento. Exploraremos qué es, cómo funciona y cómo puede evitar convertirse en una víctima.

¿Qué es Zeus Sphinx?

Zeus Sphinx (también conocido como Zloader o Terdot) es un malware que se remonta a 2015. Pero al igual que un virus que no se detiene, Zeus Sphinx reapareció en diciembre de 2019. Este regreso fue impulsado por la crisis del COVID-19, donde Zeus Sphinx usó COVID-19 como cover
para inducir a los usuarios a descargar el malware.

Cuando apareció por primera vez, el malware era un troyano bancario que primero se dirigía a los bancos de Estados Unidos y luego extendía su alcance a Canadá y Brasil. 

Después de una breve pausa, este malware comenzó a reaparecer lentamente en diciembre de 2019 y los investigadores concluyeron que los operadores estaban probando el malware para futuras implementaciones a gran escala. A partir de marzo o abril de 2020, los ataques de Zeus Sphinx aumentaron significativamente, con algunas modificaciones y una táctica de aprovechar la pandemia de COVID-19 para atacar bancos en América del Norte.

Las modificaciones observadas en las nuevas versiones de Zeus Sphinx no son nada para sacudir la cola de una esfinge. Los investigadores de IBM han descubierto que el malware se ha vuelto más eficiente para robar información bancaria y financiera, que es el objetivo principal del
malware. También cuenta con una nueva infraestructura de servidor de comando y control (C2) y nuevos métodos para mantener la persistencia durante un ataque.

Las modificaciones observadas en las nuevas versiones de Zeus Sphinx no son nada para sacudir la cola de una esfinge. Los investigadores de IBM han descubierto que el malware se ha vuelto más eficiente para robar información bancaria y financiera, que es el objetivo principal del
malware. También cuenta con una nueva infraestructura de servidor de comando y control (C2) y nuevos métodos para mantener la persistencia durante un ataque.

¿Cómo actúa Zeus Sphinx?

Construido sobre la base de código Zeus v2.0.8.9, este malware ingresa al sistema a través de campañas de phishing y spam. Este resurgimiento de Zeus Sphinx depende en gran medida del factor de confianza involucrado con los correos electrónicos y archivos adjuntos que hacen referencia a COVID-19.

Un nombre de documento malicioso que se usa con frecuencia y que ha atrapado a los usuarios recientemente es “alivio COVID-19”. Este ángulo que han adoptado los operadores de Zeus Sphinx ha llevado a los investigadores a creer que estas nuevas campañas de ataque de Zeus Sphinx se están aprovechando de la expectativa de los usuarios de recibir pagos de ayuda de COVID-19 del gobierno federal. Esto se mantiene en línea con una gran cantidad de otros programas maliciosos en la naturaleza que se están aprovechando de esta crisis. De hecho, el uso de campañas de spam
relacionadas con COVID ha aumentado un 6.000% desde principios de 2020.

Se ha observado que Zeus Sphinx engaña a los usuarios con un formulario malicioso que les pide que inserten datos personales para que puedan recibir su dinero. (Tenga en cuenta que el gobierno nunca le pedirá que envíe información personal para recibir un pago de ayuda COVID-
19). Cuando el usuario acepta las macros maliciosas en el archivo, el malware comienza su implementación y se recupera el descargador de malware. Mejoran la eficacia de este documento malicioso, ya que está protegido con contraseña para que los usuarios no puedan analizar el
archivo.

Después de ser implantado en una computadora, el malware agrega una clave de ejecución del Registro de Windows como un archivo de biblioteca de vínculos dinámicos o un ejecutable malicioso para ayudar en la persistencia. Zeus Sphinx aumenta su capacidad de persistencia al
crear un archivo llamado msiexec.exe, que ayuda a ocultar su actividad de las herramientas y los análisis de seguridad. 

También es conocido por implementar técnicas de inyección y enganche del
navegador para robar aún más información personal de los usuarios. Un ejemplo de esto son las ventanas emergentes del navegador en la sesión que solicitan información personal que pueden ayudar a los atacantes a robar datos financieros y de tarjetas bancarias.

Otra actualización significativa de Zeus Sphinx desde su última ejecución en la naturaleza es una clave de cifrado RC4 para la comunicación con el servidor de comando y control. Esto permite comunicaciones más sigilosas con este servidor durante los ataques y también permite a los atacantes utilizar el dispositivo infectado en una botnet.

Cómo prevenir Zeus Sphinx

Afortunadamente, puede hacer bastante para evitar que Zeus Sphinx infecte su sistema (o el de su organización). A continuación, se muestra una lista de recomendaciones que incluso aquellos que no son los más expertos en seguridad de la información pueden hacer para prevenirlo:

• Utilice una solución de seguridad de Internet respetada
  
• Asegúrese de que su sistema y software estén actualizados
  
• Tenga cuidado al hacer clic en enlaces desconocidos y, si es posible, confirme que el enlace lo envía una parte que conoce.
  
• Comunique a su organización la importancia de mantener elevada su conciencia de ciberseguridad durante esta crisis. Intente incorporar ejemplos de correos electrónicos no deseados y suplantación de identidad (phishing) COVID-19 en el programa de concientización sobre ciberseguridad de su organización.