La variante de Zeusbot / Spyeye Botnet utiliza el modelo de red p2p

Variante de Zeusbot / Spyeye Botnet utiliza el modelo de red p2p

Los ciberdelincuentes están utilizando una versión modificada del Zeusbot / Spyeye, que está utilizando una arquitectura de red punto a punto (P2P), en lugar de un simple bot al sistema de servidor de comando y control (C&C), lo que hace que la botnet sea mucho más difícil de manejar. derribar, advirtió Symantec. ZeuS es muy popular en el mundo cibercriminal porque es capaz de robar una amplia variedad de información, documentos y credenciales de inicio de sesión de sistemas infectados.

Durante muchos años fue el arma elegida por la mayoría de los estafadores que apuntan a los sistemas de banca en línea. El código fuente del troyano se publicó en foros clandestinos de Internet el año pasado, allanando el camino para muchas modificaciones y mejoras de terceros.

La variante de Zeusbot / Spyeye Botnet utiliza el modelo de red p2p 2

Anteriormente, P2P se usaba para comunicar entre bots cualquier cambio en la URL del servidor de C&C. También se han utilizado otras técnicas, como determinar mediante programación las URL que se utilizarán en fechas particulares en caso de que un bot pierda el contacto por completo.

Sin embargo, una nueva variante detectada recientemente por el proveedor de antivirus Symantec ha eliminado por completo la necesidad de servidores C&C. “Todos los pares de la red de bots pueden actuar como un servidor de C&C, mientras que ninguno de ellos es realmente uno”, dijo el investigador de Symantec Andrea Lelli en una publicación de blog el miércoles.

Otros cambios observados por Symantec incluyen un mayor uso de UDP en lugar de TCP para dificultar el seguimiento y el volcado de los intercambios de datos, y las alteraciones de la compresión y el cifrado utilizados. Además, se ha encontrado que el bot de Zeus distribuye malware adicional.

“Los bots ahora son capaces de descargar comandos, archivos de configuración y ejecutables de otros bots; cada computadora comprometida es capaz de proporcionar datos a los otros bots,” ella dijo.

“Zeustracker es un sitio que ha tenido un éxito considerable en el seguimiento y publicación de listas de bloqueo de IP para servidores Zeus C&C en todo el mundo“, Dijo Lelli, y agregó que el cambio de Zeus a P2P para estas funciones significa que el sitio ya no podrá producir listas de bloqueo IP de Zeus C&C exactas.

La policía ha podido eliminar las botnets en el pasado cerrando los servidores de C&C. Sin embargo, con una arquitectura de red P2P, una botnet puede evitar este único punto de vulnerabilidad.