Vídeo: FBI offers $3m reward for GameOver Zeus creator Russian hacker Evgeniy Bogachev (De novembre 2024)
Els investigadors de Trend Micro han explicat recentment el troià bancari Zeus, amb un nou codi i capacitats.
Després de pràcticament cap activitat al gener, les variants de Zeus van augmentar a principis de febrer i van continuar actives cada mes, assolint el pic durant la meitat de maig, Jay Yaneza, membre de l’equip de suport tècnic de Trend Micro, va escriure al bloc Trendlabs Security Intelligence. La versió més recent es comporta de manera diferent un cop infecta l’ordinador, però tot i així roba informació d’inici de sessió dels llocs web financers i altres llocs delicats.
Zeus va estar essencialment tranquil durant l'any passat i a principis d'aquest any després que Microsoft i els seus companys d'aplicació de la llei es van apoderar amb èxit de diversos servidors de control i control de Zeus el març de 2012. Aleshores, Microsoft va reconèixer que la campanya contra Zeus no va ser completa. esforç de retirada perquè hi havia més servidors de C&C que encara funcionaven. Tot i així, Microsoft va desorganitzar les operacions i va deixar paralitzats els components clau de la infraestructura per fer que Zeus no fos tan habitual com abans.
"Antigues amenaces com ZBOT sempre poden produir una remuntada perquè els ciberdelinqüents es beneficien d'aquests", va dir Yaneza.
Zeus és un troià que roba informació dissenyat per robar les credencials d'inici de sessió en línia a llocs delicats dels usuaris, com ara la banca en línia i els comptes de correu electrònic. Zeus també roba informació d'identificació personal. Les variants anteriors van desar les dades robades i el fitxer de configuració dins d’una carpeta del sistema Windows i van modificar el fitxer amfitrions perquè els usuaris no poguessin accedir a llocs relacionats amb la seguretat. El fitxer de configuració conté els noms de la institució financera que busca el programari maliciós a la sessió del navegador de l’usuari.
"Els actors maliciosos poden canviar la llista de llocs que volen supervisar en el sistema afectat", va dir Yaneza.
Diferència entre variants
Les noves variants creen dues carpetes de nom aleatori al directori d’usuaris, una per al programa maliciós i una altra per a dades xifrades. Les últimes trouses Zeus són "principalment variants de Ciutadella o GameOver", va dir Yaneza. Les dues variants envien consultes DNS a noms de domini aleatoris per buscar el servidor d’ordres i control. La màquina infectada rep una llista de quins llocs cal monitoritzar des del servidor C&C.
"Va vendre la banca robada i altra informació personal dels usuaris és un negoci lucratiu al mercat subterrani", va dir Yaneza.
Els usuaris han d’anar amb compte d’obrir missatges de correu electrònic i fer clic als enllaços. Han de marcar els llocs de confiança perquè no es redirigin accidentalment a llocs maliciosos perquè escrivien el nom a la barra d'adreces URL. També cal estar informat de l’ordinador amb les darreres actualitzacions del sistema operatiu, el programari comú i els productes de seguretat.