24. 02. 2014

Trojský kůň Zeus je hlavně keylogger, který se zaměřuje na zcizení bankovních údajů uživatele a na realizaci podvodných bankovních převodů, a to včetně manipulace s SMS zprávami používanými pro potvrzení transakcí internetového bankovnictví. Umožňuje za běhu měnit data posílaná do banky a data zobrazovaná uživateli. Na internetu byly zachyceny nové varianty, z nichž jedna, Zeus GameOver, využívá k šíření malware šifrované formy a další, ZeusVM, ukrývá konfigurační kód malwaru v souboru digitální fotografie.

Charakteristika zranitelnosti

Varianta Zeus GameOver zašifruje svůj spustitelný .Exe soubor do nespustitelného formátu .Enc. Vyhne se tak detekci firewaly, IDS, web filtry a dalším bezpečnostním softwarem. Šíří se pomocí spamové kampaně, která vypadá jako oficiální korespondence od bank a snaží se trikem přimět uživatele k otevření přiloženého komprimovaného .Zip souboru. Zip soubory obsahují malý .Exe soubor, downloader Upartre, jehož hlavním úkolem je připojit se na internet a stáhnout větší, sofistikovaný malware, který by nikdy neprošel spamovými filtry. Po rozbalení Upartre nejprve z Internetu stáhne soubor .Enc a poté z něho dešifruje soubor .Exe, který uloží na novém místě s novým názvem, kde čeká na budoucí využití pomocí sítě botnet.

Varianta ZeusVM ukrývá konfigurační kód v napohled neškodných a legitimních souborech s digitálními fotografiemi formátu .Jpg. Tím skryje škodlivý kód a ten úspěšně obejde kontrolu signatur Intrusion Detection System i antivirový software. Konfigurační kód obsahuje nová doménová jména oblíbených bank a finančních institucí, u kterých by uživatelé mohli využívat služeb elektronického bankovnictví a na které se má ZeusVM zaměřit a krást údaje online bankovnictví.

Postižené systémy

  • Windows 32bit, 64bit.
  • existuje i varianta malwaru Zeus pro mobilní zařízení se systémem Android.

Dopad zranitelnosti

Umožní útočníkovi ovládat napadený počítač a získat přístup k citlivým údajům internetového bankovnictví.

Řešení

Nereagovat na e-mailové zprávy z neznámých zdrojů a neotevírat u těchto e-mailů žádné přílohy. Další postupy jak rozeznat phishing a obranu proti němu nabízí již dříve uveřejněný článek v této rubrice s názvem Phishing - stále aktuální hrozba.

Odkazy

http://securityaffairs.co/wordpress/22334/malware/zeus-banking-malware-nestles-crucial-file-photo.html
http://blog.malwarebytes.org/security-threat/2014/02/hiding-in-plain-sight-a-story-about-a-sneaky-banking-trojan/
http://blog.raxco.com/2014/02/20/steganogra-what-how-zeus-steals-your-banking-login-2-ways-to-stop-it/
http://www.syssec-project.eu/m/page-media/3/zeus_malware13.pdf
http://www.scmagazine.com/gameover-variant-of-zeus-trojan-slips-by-security-as-encrypted-file/article/332692/
http://thehackernews.com/2014/02/gameover-malware-variant-of-zeus-trojan.html