A Zeus sokáig szedte áldozatait az interneten, és számos botnet kialakításában vett részt. Tavaly azonban kikerült a forráskódja az internetre, majd ezt követően a készítői látszólag lazábban kezelték a károkozójuk fejlesztését. Év elején azonban a trójai kálváriája folytatódott. Egyrészt a napvilágra került forráskódja egyre több károkozóban kapott helyet, másrészt pedig a Zeus fejlesztői is újra nagyobb lendülettel álltak neki a kártékony programjuk bővítésének. Januárban jelent meg a Zeus 3 előfutáraként kikiáltott Gameover trójai, ami az adatlopás mellett előtérbe helyezte az elosztott szolgáltatásmegtagadási (DDoS) támadásokat valamint a web injection alapú károkozásokat.

Februárban a Symantec a Zeus egy olyan variánsára akadt, amely elsősorban a botnetek felépítését tekintve szolgált újdonságokkal a korábbi változatokhoz képest. A trójai készítői ugyanis úgy gondolták, hogy a botnetjük működéséből mellőzik a központi vezérlőszervereket, és tiszta P2P-t alkalmaznak a kártékony hálózatuk irányításához. Emiatt a Zeus által kialakított botnet sokkal nehezebben bénítható meg, hiszen a hatóságok hiába állítanak le egy-egy központi számítógépet, attól a hálózat még működőképes marad.

Ezt a tartalmat jeleníti meg a Zeus egy fertőzött számítógépen a Facebook letöltésekor
Forrás: Trusteer

Megérkezett a legújabb variáns

Az már biztos, hogy a Zeus fejlesztői az elmúlt hónapokban sem pihentek, hiszen terjedésnek indult a trójai legújabb variánsa, amely ezúttal az adatlopáshoz felhasznált internetes platformok tekintetében módosult. A Zeus eddigi verziói elsősorban a banki weboldalakon megadott adatokat fürkészték. Amikor egy fertőzött számítógépről a felhasználó megnyitotta a bankjának webhelyét, akkor a trójai aktivizálódott, és folyamatosan kémlelte, illetve manipulálta az adatforgalmat. Ebből a szempontból a Zeus már viszonylag régóta rendelkezik egy web injection alapú támadásokra lehetőséget adó összetevővel, amely a webböngészőben megjelenő weblapokra nemkívánatos tartalmakat képes beszúrni.

A Zeus manipulálta a megjelenített Gmail weboldalt – Forrás: Trusteer

A legújabb variáns azonban már nemcsak a banki oldalakat kíséri figyelemmel, hanem számos népszerű, webes szolgáltatást is kémlel. Így például a Facebook, a Gmail, a Yahoo! valamint a Hotmail esetében is aktivizálódik, és a web injection modulját használja fel arra, hogy megtévessze a felhasználókat, majd hitelkártyaszámokat és egyéb bizalmas adatokat csaljon ki tőlük.

A Zeus legújabb variánsáról elsőként a Trusteer számolt be. “Nemrégen egy olyan támadássorozatot fedeztünk fel, amelynek során kiderült, hogy a P2P-alapú Zeus jelent meg vezető online szolgáltatások és weboldalak esetében. A támadások a Facebook, a Gmail, a Hotmail valamint a Yahoo! felhasználói ellen irányulnak” – erősítette meg a híreket Amit Klein, a biztonsági cég műszaki igazgatója.

A Zeus és a Yahoo! – Forrás: Trusteer 

Károkozás népszerű weboldalakon

Az új Zeus a Facebook megnyitásakor egy olyan ablakot jelenít meg, amely kedvezményeket ígér a felhasználók számára. A Gmail és a Yahoo! kapcsán egy új, biztonságosnak kikiáltott – a valóságban nem is létező – fizetési megoldással igyekszik felkelteni a figyelmet. A Hotmail felhasználók számára pedig egy olyan szolgáltatást kínál, amely az ígéretei szerint ingyenes védelmet biztosít a hitelkártyák számára. Azonban legyen szó bármelyik esetről, a trójainak kizárólag az a célja, hogy hitelkártyaszámokhoz férhessen hozzá, amelyeket aztán kiszivárogtathat a terjesztői számára.

Amit Klein szerint ezek a támadások kiváló példái annak, hogy a csalók miként használják fel a megbízható márkákat, brandeket annak érdekében, hogy hitelkártya-információkra tehessék rá a kezüket. Ráadásul a web injection “jól” kivitelezett, így a csalások felismerése sem könnyű feladat. Ezért nagyon fontos a naprakészen tartott védelmi alkalmazások használata valamint a körültekintő, megfontolt internetezés.

Forrás: biztonsagportal.hu