El malware Gameover es más difícil de eliminar con nuevo componente rootkit



Una nueva variante del malware Gameover que roba credenciales de banca en línea viene con un rootkit a nivel de kernel que hace que sea mucho más difícil de eliminar, de acuerdo a los investigadores de seguridad de Sophos.
Gameover es un troyano informático basado en el infame malware bancario Zeus cuyo código fuente se filtró en Internet en el 2011.

Gameover se distingue de otros programas troyanos basados en Zeus, ya que utiliza la tecnología peer-to-peer para el comando y control en lugar de los servidores tradicionales, por lo que es más resistente a los intentos de desinfección.
A principios de febrero, los investigadores de la empresa de seguridad Malcovery Security, informaron que una nueva variante de Gameover se distribuye como un archivo encriptado enc. con el fin de eludir las defensas a nivel de red.

Sin embargo, el último truco de los creadores de Gameover implica el uso de un rootkit kernel llamado Necurs, utilizado para proteger el proceso del malware de ser terminado y que sus archivos sean eliminados, dijeron el jueves en una entrada del blog los investigadores de Sophos.

La última variante de Gameover se distribuye a través de correos electrónicos spam que pretenden venir de HSBC France con facturas falsas en los archivos adjuntos. Zip. Estos archivos no contienen el troyano Gameover en sí, sino un programa malicioso llamado downloader Upatre que, si se ejecuta, descargará e instalará el malware bancario.

Si esta primera fase de la infección tiene éxito, la nueva variante de Gameover intenta instalar el rootkit Necurs que funciona como un controlador de 32 bits o 64 bits, dependiendo de la versión de Windows que es utilizado por la víctima. El malware trata de explotar una vulnerabilidad en escala de privilegios de Windows parcheada por Microsoft en el año 2010 con el fin de instalar el controlador Necurs con privilegios de administrador.

Si el sistema está parcheado y el intento de explotación falla, el malware activará una UAC (User Account Control) con un mensaje pidiendo a la víctima el acceso como administrador.

El mensaje UAC debe parecerle sospechoso al usuario teniendo en cuenta que abre lo que él cree ser una factura, según los investigadores de Sophos.

Sin embargo, si el usuario confirma la ejecución de todos modos o la explotación es un éxito, en primer lugar, el controlador del Rogue comienza a proteger los componentes de Gameover. "El rootkit aumenta en gran medida la dificultad de ser eliminado el malware de un equipo infectado, por lo que son propensos a permanecer infectados durante más tiempo, y de perder más datos al ser enviados a quienes controlan la botnet Gameover", dijeron los investigadores de Sophos.

No está claro porqué los autores de Gameover comenzaron a utilizar un rootkit desarrollado por otra persona. "Tal vez los dos grupos están uniendo sus fuerzas, o tal vez el código fuente de Necurs ha sido adquirido por la banda de Gameover", dijeron los investigadores de Sophos.

"Cualquiera que sea la razón de la adición del rootkit Necurs siendo está ya de por si un malware muy peligroso. Zeus y sus spin-offs siguen siendo muy populares entre los delincuentes cibernéticos. De acuerdo con un informe reciente de Dell SecureWorks, las variantes de Zeus representaron casi la mitad de todo el malware bancario visto en 2013. Además de robar credenciales de banca en línea y de información financiera, los cibercriminales están utilizando cada vez más este tipo de malware para recoger otro tipo de datos.

La empresa de seguridad Adallom ha encontrado recientemente una variante de Zeus diseñado para robar credenciales de Saleforce.com y así sustraer los datos del negocio y de comprometer sus cuentas.

Fuente: Infoworld