Video: Zeus 20 20 (Oktober 2024)
The Zeus banking Trojan er tilbake, med ny kode og muligheter, sa Trend Micro-forskere nylig.
Etter praktisk talt ingen aktivitet i januar, økte Zeus-variantene i begynnelsen av februar og fortsatte å være aktive hver måned, og toppet seg i løpet av midten av mai, skrev Jay Yaneza, medlem av Trend Micros tekniske supportteam, på bloggen Trendlabs Security Intelligence. Den nyere varianten oppfører seg annerledes når den infiserer datamaskinen, men den stjeler fortsatt innloggingsinformasjon fra økonomiske nettsteder og andre sensitive nettsteder.
Zeus var i det vesentligste stille mesteparten av fjoråret og begynnelsen av dette året etter at Microsoft og dets lovhåndteringspartnere med suksess tok grep om flere Zeus-kommando- og-kontrollservere i mars 2012. På den tiden erkjente Microsoft at kampanjen mot Zeus ikke var en komplett takedown innsats fordi det var flere C & C-servere som fortsatt fungerte. Likevel forstyrret Microsoft driften og ødelagte viktige komponenter i infrastrukturen for å gjøre Zeus ikke så vanlig som den pleide å være.
"Gamle trusler som ZBOT kan alltid gjøre et comeback fordi cyberkriminelle tjener på disse, " sa Yaneza.
Zeus er en trojansk som er stjålet med informasjon som er utviklet for å stjele online påloggingsinformasjon til sensitive nettsteder fra brukere, for eksempel nettbank og e-postkontoer. Zeus stjeler også personlig identifiserbar informasjon. Tidligere varianter lagret stjålne data og konfigurasjonsfiler i en Windows-systemmappe og endret vertsfilen slik at brukere ikke kunne få tilgang til sikkerhetsrelaterte nettsteder. Konfigurasjonsfilen inneholder navnene på finansinstitusjonen som skadelig programvare ser etter i brukerens nettleserøkt.
"Ondsinnede aktører kan endre listen over nettsteder de vil overvåke på det berørte systemet, " sa Yaneza.
Forskjell mellom varianter
De nye variantene lager to tilfeldige navnede mapper i brukerkatalogen, en for skadelig programvare og en for kryptert data. De siste Zeus-trojanerne er "stort sett enten Citadel eller GameOver-varianter, " sa Yaneza. Begge varianter sender DNS-spørsmål til tilfeldige domenenavn for å se etter kommandoen og kontrollserveren. Den infiserte maskinen mottar en liste over hvilke nettsteder som skal overvåkes fra C & C-serveren.
"Å tråkke stjålet bank og annen personlig informasjon fra brukere er en lukrativ virksomhet i det underjordiske markedet, " sa Yaneza.
Brukere må være forsiktige med å åpne e-postmeldinger og klikke på lenker. De bør bokmerke pålitelige nettsteder, slik at de ikke blir omdirigert til ondsinnede nettsteder fordi de skrev inn navnet i URL-adressefeltet. Datamaskinen bør også holdes oppdatert med de siste oppdateringene for operativsystemet, vanlig programvare og sikkerhetsprodukter.
