Video: GameOver Zeus: Badguys And Backends (September 2024)
Zeus bank-trojan är tillbaka, med ny kod och kapacitet, sa Trend Micro-forskare nyligen.
Efter praktiskt taget ingen aktivitet i januari, växte Zeus-varianter i början av februari och fortsatte att vara aktiv varje månad och toppade i mitten av maj, skrev Jay Yaneza, medlem av Trend Micros tekniska supportteam, på bloggen Trendlabs Security Intelligence. Den nyare varianten beter sig annorlunda när den infekterar datorn, men den stjäl fortfarande inloggningsinformation från finansiella webbplatser och andra känsliga webbplatser.
Zeus var väsentligen tyst det mesta av förra året och början av detta år efter att Microsoft och dess brottsbekämpande partners framgångsrikt grep flera Zeus-kommando- och -kontrollserver i mars 2012. Vid den tiden erkände Microsoft att kampanjen mot Zeus inte var en komplett nedtagningsinsats eftersom det fanns fler C & C-servrar som fortfarande fungerade. Trots detta störde Microsoft verksamheten och förkrossade viktiga komponenter i infrastrukturen för att göra Zeus inte så vanligt som det brukade vara.
"Gamla hot som ZBOT kan alltid göra ett comeback eftersom cyberbrottslingar tjänar på dessa", sade Yaneza.
Zeus är en trojansk informationstjällande designad för att stjäla online-inloggningsuppgifter till känsliga webbplatser från användare, till exempel nätbanker och e-postkonton. Zeus stjäl också personlig identifierbar information. Tidigare varianter sparade stulna data och konfigurationsfiler i en Windows-systemmapp och modifierade värdfilen så att användare inte kunde komma åt säkerhetsrelaterade webbplatser. Konfigurationsfilen innehåller namnen på den finansiella institutionen som skadlig programvara letar efter i användarens webbläsarsession.
"Skadliga aktörer kan ändra listan över webbplatser som de vill övervaka på det drabbade systemet, " sade Yaneza.
Skillnad mellan varianter
De nya varianterna skapar två slumpmässiga namngivna mappar i användarkatalogen, en för skadlig programvara och en för krypterad data. De senaste Zeus-trojanerna är "mestadels antingen Citadel eller GameOver-varianter", sade Yaneza. Båda varianterna skickar DNS-frågor till slumpmässiga domännamn för att leta efter kommandon och kontrollservern. Den infekterade maskinen får en lista över vilka webbplatser som ska övervakas från C & C-servern.
"Att stela bankstol och annan personlig information från användare är en lukrativ verksamhet på den underjordiska marknaden, " sade Yaneza.
Användare måste vara försiktiga med att öppna e-postmeddelanden och klicka på länkar. De bör bokmärka betrodda webbplatser så att de av misstag inte omdirigeras till skadliga webbplatser eftersom de skrev in namnet i URL-adressfältet. Datorn bör också hållas uppdaterad med de senaste uppdateringarna för operativsystemet, gemensam programvara och säkerhetsprodukter.
