Fuente: SearchSecurity.com

Una nueva y más tortuosa variante de malware vinculada al troyano de banca Zeus ha sido descubierta por los investigadores de Trend Micro Inc.

La nueva variante genera más dominios y por lo tanto duplica el número de dominios que los investigadores tendrán que detectar y bloquear para detener el malware.

La información proviene de una nueva muestra de LICAT, un troyano de infección de archivos que está estrechamente asociado con Zeus. LICAT busca archivos ejecutables en los sistemas infectados y los modifica, de modo que cuando el archivo infectado es abierto LICAT genera 800 direcciones de Internet con caracteres alfa pseudo-aleatorios. Luego, intenta conectarse a cada uno de estos destinos para descargar y ejecutar otros componentes u otras funciones maliciosas.

los investigadores de Trend vieron por primera vez una conexión entre LICAT y Zeus en octubre. Mientras que algunos de los dominios generados por LICAT parecen no estar registrados o inactivos, algunos están activos y podrían crear problemas para detectar y bloquear el malware. El troyano Zeus, también llamado Zbot, ha sido un problema para los bancos y empresas financieras, ya que es fácil encontrar herramientas para configurar un ataque automatizado.

Los investigadores de Trend Micro, con sede en Tokyo, señalaron que varios de los dominios generados por LICAT parecen coincidir con los utilizados por Zeus.

La nueva muestra de LICAT revela que ahora utiliza un conjunto diferente de llaves para su algoritmo de generación de dominios. También utiliza más llaves para generar su nueva serie de dominios. Y, mientras que el algoritmo de generación de dominio de la variante original de LICAT utiliza la misma llave dos veces – una vez para donde se encuentra su archivo de configuración, y una vez para que nuevas o actualizadas variantes puedan descargarse de forma automática – la nueva variante utiliza llaves diferentes, lo que duplica el número de dominios que deben ser vigilados y bloqueados por los investigadores.

“Esperamos que más variantes de LICAT con diferentes llaves probablemente van a surgir en las próximas semanas”, dijo Joseph Cepe, un analista de amenazas de Trend Micro.