Una variante recientemente descubierta del troyano bancario Zeus emplea una firma digital válida para evitar la detección de navegadores web y sistemas antivirus.

El proveedor de seguridad Comodo reportó el jueves haber encontrado 200 veces la variante mientras monitoreaban y analizaban datos de usuarios de sus sistemas de seguridad para Internet. La variante incluye la firma digital, un rootkit y un componente de malware para robo de datos.

"Un malware con una firma digital válida es una situación extremadamente peligrosa" dijo la compañía en una entrada de blog.

Zeus se distribuye típicamente a través de páginas web comprometidas o a través de ataques de phishing en el cual los cibercriminales envían correos que parecen provenir de un banco.

Una muestra de la última variante de Zeus trata de engañar al destinatario para que lo ejecute al parecerse a un documento de Internet Explorer que incluye un ícono similar al del navegador de Windows.

Ya que el archivo está firmado digitalmente con un certificado válido, parece digno de confianza, dijo Comodo. El certificado está emitido por isonet ag.

Cuando se ejecuta, el malware descarga el rootkit y un programa capaz de robar credenciales de inicio de sesión, información de tarjetas de crédito y otros datos claves de una persona en un formulario web. El rootkit previene que los archivos maliciosos sean borrados, tanto por el usuario de la computadora como por el software antivirus.

El malware Zeus típicamente lanza un ataque de man-in-the-browser cuando una persona visita un sitio de banca en línea. El malware permite crear una sesión remota en la cual pueden ver lo que hace la víctima y secretamente interceptar todos los datos que fluyen de la actividad.

Por ejemplo, si la víctima transfiere fondos del sitio de un banco, la información del pago será desplegada como siempre, pero detrás de esto, los atacantes modificarán la transacción y mandarán el dinero a otra cuenta.

Zeus es una de las más antiguas familias de malware financiero, también llamado Zbot. El código fuente fue filtrado a Internet en 2011 dando como resultado una oleada de versiones personalizadas. Entre los troyanos basados en Zeus más populares están Citadel y GameOver.   

En diciembre, Kaspersky Lab descubrió una versión de 64 bits de Zeus, un indicador de que los hackers estaban preparando el software para moverse fuera de la vieja arquitectura de 32 bits.