Troyano Bancario Zeus contra Latinoamérica.

Se ha localizado alojado en la dirección IP 64.90.57.111 perteneciente al proveedor dreamhost.com de USA la infraestructura del panel de control de un troyano Zeus preparado para robar datos confidenciales de  usuarios de Latinoamérica.

Esta misma IP también aloja los dominios fraudulentos www.citapower.com y gusanito-postal.org

El troyano se comunica con el panel de control mediante la cadena de conexión:

hXXp://64.90.57.111/carrito.php

Y la configuración del troyano Zeus se descarga desde la dirección:

hXXp://64.90.57.111/config.bin

La dirección de acceso del panel de control del Zeus se encuentra en la URL:

hXXp://64.90.57.111/spartan.php?m=login

Tal como se muestra en la captura de la siguiente pantalla:

Una vez que se ha accedido al Panel de Control muestra la siguiente información:

Este Panel esta activo desde la fecha 31/08/2012 y tiene controlados en total 3619 equipos bots infectados.

Como se observa en el panel estadístico la mayoría de los usuarios infectados pertenecen a Latinoamérica. Siendo el numero total de impactos por paises con mas infecciones:

MX       2 151

AR       151

ES       147

CO      112

US       57

CL       49

VE       32

PE       22

BR       18

Tal como se puede ver con mas detalle en el Panel de control de los BOTS

La peligrosidad de este troyano radica en el gran control que tiene sobre las máquinas infectadas y sobre todo que esta enfocado al robo de credenciales de Banca Electrónica de las entidades financieras con el propósito de realizar transferencias fraudulentas con los datos confidenciales capturados de los clientes infectados.

En el momento del Análisis el Panel de Control estaba configurado para enviar la orden de capturar la contraseña de todo tipo de servidores FTP que estuvieran accediendo los usuarios infectados.

En la siguiente pantalla se puede observar la capacidad de captura de datos confidenciales por el keylogger del troyano en los equipos de los usuarios infectados: