Pull to refresh

Для преступников ботнет Зевс (ZeuS) становится все удобнее и удобнее

Information Security *
Translation
Original author: Ellen Messmer
Да, я знаю что недавно про него было, и скоро будет еще. Но вот что думают буржуины.

image
Какой-то ботнет

Краткая справка
  • № 1 в списке самых разыскиваемых ботнетов Америки
  • Зараженные компьютеры: 3.6 миллиона
  • Использование преступниками: воровство вводимой пользователем информации (кейлоггер), вставка поддельных HTML форм в системы онлайн-банкинга
За 10 000 $ можно приобрести модуль Зевса, дающий полный контроль над зараженными компьютерами

Новые возможности усиливают ботнет ЗевС, используемый преступниками для воровства финансовой информации и переводов денег в онлайн-банкинге, расчетных палатах и системах начисления заработной платы. Стоимость его последней версии начинается с 3000 $, также можно купить позволяющую полностью контролировать зараженные компьютеры версию за 10 000 $.

Список 10 самых разыскиваемых ботнетов Америки.

Автор и владелец предположительно один человек и (также предположительно) находящийся сейчас в восточной Европе, продолжает постоянную работу над ботнетом. Так, Зевс версии 1.3.4.х получил встроенную функцию удаленного контроля над ботнетом. Причем взломщик может «получить полный контроль над зараженным компьютером», говорит Дон Джексон, начальник отдела обнаружения угроз копании SecureWorks, выпустивший подробный отчет о Зевсе на этой неделе.

Новая опция Зевса (взятая из старого свободного проекта AT&T Bell Labs «Virtual Network Computing») и позволяющая удаленно контролировать компьютеры работает аналогично программам наподобие GoToMyPC, говорит Джексон. Secure Works называют опцию «полным присутствием». Она настолько полезна преступникам, что стоит 10 000 $.

Троян Зевс поражает компьютеры с установленной ОС Windows и имеет размер около 50 000 байт. Он ворует с компьютера пользователя учетные записи банковских систем северной Америки и Великобритании. Преступление можно совершить с другого континента, переводя средства на другие счета с помощью искусно сделанной системы управления.

Появившийся в 2007 (а возможно и ранее) Зевс «удачно продвигаемая шпионская программа-троян» увеличил свою популярность с распространением ботнетов.

Изначально над написанием Зевса работала группа UpLevel. Однако сегодняшние исследователи считают, что у Зевса всего один автор, который в настоящее время прилагает усилия по полному контролю над Зевсом (версий 1.3 и более поздних). Так, он внедрил механизм защиты от копирования, привязывающий каждую копию клиента ботнета к соответствующему компьютеру.

Исследователь Кевин Стевенс из SecureWorks указывает на схожесть механизма защиты от копирования Зевса с WinLicense (оба используют метод аппаратных маркеров). Механизм учитывает информацию об аппаратном обеспечении компьютера перед открытием доступа к коду инструментария ZeuS Builder.

Предыдущие версии Зевса доступны бесплатно, но новые (с начала года) стоят совсем немало. По информации SecureWorks в сетевом преступном сообществе мошенники зачастую платят за используемые в совершении преступлений программы через Western Union или Web Money.

В опубликованном на прошлой неделе отчете SecureWorks базовый инструментарий ZeuS Builder стоит от 3 до 4 тысяч долларов, а за модуль «Banckconnect» придется выложить еще полторы тысячи. Модуль позволяет совершать переводы с зараженной машины, т.е. если банки попробует отследить откуда преступником был совершен перевод, то увидят компьютер владельца счета. Есть разграничение и по взламываемым ОС — за возможность взламывать компьютеры с Windows 7 или Vista преступникам нужно заплатить еще 2 тысячи долларов, в противном случае они смогут взламывать только компьютеры с Windows XP.

Перечислим еще несколько доступных опций. «Firefox form grabber» (2000 $) посылает преступнику информацию из форм ввода, которые пользователь заполняет в Файерфоксе. «Jabber (IM) chat notifier» (500 $) оповещает взломщика о получении украденных данных, теперь если успеть, то можно получить доступ к счету жертвы, используя банковский токен для случайной генерации чисел. VNC модуль, позволяющий обойти смарт-карты, необходимые для крупных переводов (10 000 $).

Последняя версия Зевса умеет обходить большинство двухфакторных и других защит банковских систем и ориентирована на проведение крупных переводов, от 100 000 $, отмечает Джексон.

Появляется множество историй о жалобах компаний на неавторизованные переводы или мошеннически внесенных несуществующих работников в систему заработной платы. В таких случаях банки не могут откатить достаточно крупные переводы.

Итак, последняя версия Зевса обходит большинство продвинутых механизмов защиты онлайн-аутентификации используемых банками, возможно за исключением ручной системы одобрения транзакций, в которой одобрить перевод должны по крайней мере двое случайно выбранных из списка специально обученных людей. «Это гонка вооружений», — Джексон.

В выходящей вскоре версии Зевса 1.4 (которая пока в бета-тесте) количество опций увеличиться. Например, опция «Web Injects for Firefox» позволит взломщику в любое время показать в Firefox поддельную страницу с банковской формой. Поводом может служить запрос дополнительной информации банком (во время перевода).

Для предотвращения своего обнаружения и затруднения идентификации антивирусами Зевс использует полиморфное шифрование.

UPD:
image
Можете оценить, насколько эффективно это самое полиморфное шифрование

И статья про удаление.
Tags:
Hubs:
Total votes 104: ↑86 and ↓18 +68
Views 17K
Comments Comments 210