Vidéo: Zbot/Zeus (Novembre 2024)
Le cheval de Troie bancaire Zeus est de retour, avec un nouveau code et de nouvelles fonctionnalités, ont récemment annoncé des chercheurs de Trend Micro.
Après pratiquement aucune activité en janvier, les variantes de Zeus ont fait leur apparition début février et ont continué à être actives tous les mois. Son point culminant à la mi-mai, Jay Yaneza, membre de l'équipe de support technique de Trend Micro, a écrit sur le blog de Trendlabs Security Intelligence. La variante la plus récente se comporte différemment une fois l’ordinateur infecté, mais elle continue de voler les informations de connexion des sites Web financiers et d’autres sites sensibles.
Zeus a été pratiquement silencieux la majeure partie de l'année dernière et du début de cette année après que Microsoft et ses partenaires chargés de l'application de la loi aient saisi plusieurs serveurs de commande et de contrôle Zeus en mars 2012. À l'époque, Microsoft reconnaissait que la campagne contre Zeus n'était pas complète. effort de mise au sol car il y avait plus de serveurs C & C qui fonctionnaient toujours. Même dans ce cas, Microsoft a perturbé les opérations et endommagé des composants clés de l’infrastructure, ce qui a rendu Zeus plus rare qu’avant.
"Les anciennes menaces comme ZBOT peuvent toujours faire leur retour, car les cybercriminels en tirent profit", a déclaré Yaneza.
Zeus est un cheval de Troie voleur d'informations conçu pour voler les informations de connexion en ligne des sites sensibles aux utilisateurs, telles que les comptes bancaires en ligne et les comptes de messagerie. Zeus vole également des informations personnellement identifiables. Les variantes précédentes ont enregistré les données volées et le fichier de configuration dans un dossier système Windows et modifié le fichier hosts afin que les utilisateurs ne puissent pas accéder aux sites liés à la sécurité. Le fichier de configuration contient les noms des institutions financières recherchées par le programme malveillant dans la session du navigateur de l'utilisateur.
"Des acteurs malveillants peuvent modifier la liste des sites qu'ils souhaitent surveiller sur le système affecté", a déclaré Yaneza.
Différence entre les variantes
Les nouvelles variantes créent deux dossiers nommés de manière aléatoire dans le répertoire des utilisateurs, l'un pour les logiciels malveillants et l'autre pour les données cryptées. Les derniers chevaux de Troie de Zeus sont "principalement des variantes de Citadel ou de GameOver", a déclaré Yaneza. Les deux variantes envoient des requêtes DNS à des noms de domaine aléatoires pour rechercher le serveur de commande et contrôle. La machine infectée reçoit une liste des sites à surveiller du serveur C & C.
"Transférer des données bancaires et autres informations personnelles volées à des utilisateurs est une activité lucrative sur le marché clandestin", a déclaré Yaneza.
Les utilisateurs doivent faire preuve de prudence en ouvrant des e-mails et en cliquant sur des liens. Ils doivent mettre en signet les sites de confiance afin qu'ils ne soient pas accidentellement redirigés vers des sites malveillants, car ils ont saisi le nom dans la barre d'adresse URL. L'ordinateur doit également être mis à jour avec les dernières mises à jour du système d'exploitation, des logiciels courants et des produits de sécurité.
