Mucho se ha escuchado hablar sobre la liberación del código fuente de Zeus, la botnet cuyo principal objetivo es el robo de información bancaria. Hasta ahora habíamos explicado cómo comenzaban a aparecer pequeñas variantes de esta botnet permitiéndonos estimar su futuro crecimiento, pero hoy podemos dar crédito a esas predicciones y demostrar con datos reales la veracidad de los mismos.
A mediados del pasado mes de mayo, ocurrió algo de lo que se venía hablando desde hacía ya un tiempo, pero que hasta ese momento solo habían sido rumores: la liberación del código de Zeus. Este hecho, esperado por algunos, abrió una nueva etapa en lo que respecta a este malware. Dicha liberación de código permitió a los investigadores corroborar los trabajos de análisis realizados sobre éste código malicioso y conocer en detalle ciertos aspectos que por su complejidad no eran tan difundidos.
La disponibilidad del código benefició a los investigadores, como mencionamos anteriormente, pero lamentablemente también trajo beneficios para los creadores de malware los cuales, con el código a su disposición, le dieron vida nuevamente a esta amenaza. Con el código liberado, se esperaba el crecimiento de variantes de este malware, cosa que desde el Laboratorio de Análisis e Investigación de ESET Latinoamérica pudimos corroborar al analizar las muestras que nos llegan diariamente enviadas por usuarios de ESET NOD32 Antivirus y ESET Smart Security.
Como vemos en el gráfico que se muestra a continuación, el crecimiento de la cantidad de muestras detectadas pertenecientes a la familia de Zeus es notable. En el mes de abril, donde todavía no se había producido la filtración del código fuente de Zeus, la cantidad de muestras de Zbot (nombre de detección de las muestras de Zeus) fue de solo un 1% del total de muestras recibidas. Ya en el mes de Mayo, mes en el cual el código estuvo disponible para ser descargado, se evidenció un crecimiento importante de la cantidad de muestras detectadas, un 13% del total. En lo que va de Junio, teniendo en cuenta los datos hasta mitad de mes, el crecimiento sigue en ascenso, llevándolo a un 22% del total. Para finales de mes, de seguir con esta proyección, veremos un porcentaje mucho más alto de detecciones que el mes anterior.
Como podemos apreciar, el porcentaje de crecimiento de esta amenaza, detectadas como Win32/Spy.Zbot , aumentó notablemente desde la aparición de su código fuente. Hechos como este potencian el crecimiento del malware, ya que, disponiendo del código fuente, cualquier persona puede crear sus propias variantes de códigos maliciosos. Afortunadamente, estas nuevas amenazas son detectadas por la heurística avanzada de ESET NOD32 Antivirus, lo que contiene su propagación evitando la infección del equipo y manteniéndolo protegido ante cualquier variante que pudiera aparecer en el futuro.
Juan Esteban Forgia
Malware Analyst