La nueva configuración de Zeus roba información de inicio de sesión de clientes de un proveedor de servicio de nómina Canadiense.

Cibercriminales están usando el malware de banca en línea Zeus para atacar a compañías que usan servicios de nómina en la nube, de acuerdo a investigadores de la compañía de seguridad Trusteer.

Los investigadores han descubierto una configuración de Zeus que monitorea la página web de inicio de sesión de un proveedor Canadiense de recursos humanos y servicios de nómina llamada Ceridian Canada, con el propósito de robar información de autenticación de sus clientes.

El malware roba los identificadores de usuarios, contraseñas y números de compañía cuando los usuarios se autentican en el sitio web de Ceridian clients.powerpay.ca  desde computadoras infectadas y automáticamente toma impresiones de pantalla de sus respuestas al sistema de verificación del sitio que se basa en imágenes.

Trusteer estima que los servicios de nómina estarán en la mira de cibercriminales pues es posible robar grandes cantidades de dinero de manera más sencilla a través de ellos que desde cuentas bancarias regulares, dijo el director de tecnología de la compañía, Amit Klein.

En general, las medidas de protección de autenticación utilizadas por los servicios de nómina se quedan años atrás de los utilizados por los sitios web de banca en línea, dijo Klein.

También comentó que como los servicios de nómina pueden ser accedidos desde cualquier lugar y no es necesario que los atacantes obtengan acceso a una red corporativa para llevar a cabo el fraude. Las credenciales de autenticación pueden ser robadas y usadas desde una laptop que normalmente no podría entrar en la empresa.

Una vez que los cibercriminales están en posesión de las credenciales de autenticación robadas, pueden añadir empleados falsos en el sistema de nómina y transferir considerables sumas de dinero a cuentas que los criminales controlan.

El año pasado, un grupo de cibercriminales usó este método para robar $217,000 dólares de una organización sin fines de lucro llamada Metropolitan Entertainment & Convention Authority (MECA), con sede en Omaha, Nebraska.

Los atacantes transfirieron dinero a través del sistema de nómina de MECA a cuentas bancarias de residentes de los Estados Unidos contratados a través de estafas "trabaja desde casa",  los fondos fueron depositados después fuera del país, dijo Klein.

Desafortunadamente, realizar un análisis con un programa antivirus algunas veces no es suficiente para prevenir de infecciones de Zeus, porque los cibercriminales que usan este troyano llevan a cabo un reconocimiento antes de lanzar sus ataques para aprender qué productos de seguridad usan sus víctimas. Entonces pueden alterar el malware para evadir la detección de esas aplicaciones.

Los productos como Rapport de Trusteer están diseñados para asegurar sesiones de navegación web, así el malware no puede modificar datos ni robar credenciales de sesión. Sin embargo, los expertos de seguridad ya han advertido a organizaciones anterioremente para que realicen actividades financieras sensibles desde computadoras dedicadas para ello y que no sean usadas para otras tareas, o de hacerlo, arrancar desde un Live CD de Linux con el fin de disminuir las posibilidades de interferencia de malware.